Los adversarios a menudo utilizan canales de mando y control (C2) establecidos para exfiltrar datos de manera sigilosa. Incrustan información robada dentro del tráfico C2 en curso, ocultando sus acciones. Esta técnica, conocida como Exfiltración sobre Canal de Mando y Control, se identifica como MITRE ATT&CK® T1041. Detectar esto requiere vigilancia para detectar transferencias de datos inusuales antes de que la información confidencial sea comprometida. Un método implica identificar conexiones de red con transferencias de datos externas grandes, rastreando la duración de la transferencia. Otro enfoque es detectar consultas DNS anómalamente largas, lo que podría indicar túneles DNS. Analizar el tráfico HTTP para detectar cargas útiles grandes y codificadas en formato de texto plano también es crucial. Monitorear la ejecución de herramientas de post-explotación conocidas, como Cobalt Strike y Meterpreter, ayuda a identificar la actividad C2. Detectar picos de tráfico saliente sobre puertos C2 comunes puede exponer aún más intentos de exfiltración. Correlacionar búsquedas de dominio sospechosas con ejecuciones de procesos puede revelar comunicaciones C2 basadas en Tor.