Gegner nutzen oft etablierte Befehls- und Kontrollkanäle (C2), um Daten heimlich zu exfiltrieren. Sie integrieren gestohlene Informationen in laufenden C2-Verkehr, um ihre Aktionen zu tarnen. Diese Technik, bekannt als Exfiltration über Befehls- und Kontrollkanal, wird als MITRE ATT&CK® T1041 identifiziert. Die Erkennung erfordert Wachsamkeit, um ungewöhnliche Datenübertragungen zu erkennen, bevor sensible Informationen kompromittiert werden. Ein Ansatz besteht darin, Netzwerkverbindungen mit großen externen Datenübertragungen zu identifizieren und die Übertragungsdauer zu verfolgen. Ein weiterer Ansatz ist die Erkennung abnormal langer DNS-Anfragen, die möglicherweise DNS-Tunneling anzeigen. Die Analyse von HTTP-Verkehr auf große, kodierte Payloads im Klartextformat ist auch entscheidend. Das Überwachen der Ausführung bekannter Post-Exploitation-Tools wie Cobalt Strike und Meterpreter hilft bei der Identifizierung von C2-Aktivitäten. Die Erkennung von Ausgangsverkehrsspitzen über gemeinsame C2-Ports kann weitere Exfiltrationsversuche aufdecken. Die Korrelation verdächtiger Domain-Lookups mit Prozessausführungen kann Tor-basierte C2-Kommunikationen enthüllen.