隐藏基础设施

对手可能会操纵网络流量，以隐藏和规避其C2基础设施的检测。这可以通过各种方式实现，包括识别和过滤来自防御工具的流量，(引用: TA571) 掩盖恶意域名以混淆自动扫描工具和安全研究人员的真实目的地，(引用: Schema-abuse)(引用: Facad1ng)(引用: Browser-updates) 以及隐藏恶意工件以延迟发现并延长对手基础设施的有效性，否则这些基础设施可能会被识别、阻止或完全关闭。 C2网络可能包括使用代理或VPN来伪装IP地址，这可以使对手与正常网络流量混合，并绕过条件访问策略或反滥用保护。例如，对手可能使用虚拟私有云来伪造其IP地址，以更接近受害者的IP地址范围。这也可能绕过依赖源IP地址地理位置的安全措施。(引用: sysdig)(引用: Orange Residential Proxies) 对手还可能尝试通过多种方式过滤网络流量，以规避防御工具，包括阻止/重定向常见的事件响应者或安全设备用户代理。(引用: mod_rewrite)(引用: SocGholish-update) 基于IP和地理围栏的流量过滤也可能避免自动沙箱或研究人员活动（即虚拟化/沙箱规避）。(引用: TA571)(引用: mod_rewrite) 隐藏C2基础设施还可能通过资源开发活动（如获取基础设施和破坏基础设施）得到支持。例如，使用广泛信任的托管服务或域名（如知名URL缩短提供商或营销服务）进行C2网络可能使对手能够呈现良性内容，一旦满足特定条件，受害者将被重定向到恶意网页或基础设施。(引用: StarBlizzard)(引用: QR-cofense)