Les adversaires utilisent souvent des canaux de commandement et de contrôle (C2) établis pour exfiltrer discrètement des données. Ils intègrent les informations volées dans le trafic C2 en cours, dissimulant ainsi leurs actions. Cette technique, connue sous le nom d'Exfiltration sur canal de commandement et de contrôle, est identifiée comme MITRE ATT&CK® T1041. La détection de cette technique nécessite une grande vigilance pour repérer les transferts de données inhabituels avant que des informations sensibles ne soient compromises. Une méthode consiste à identifier les connexions réseau avec de grands transferts de données externes, en suivant la durée du transfert. Une autre approche est de détecter les requêtes DNS anormalement longues, qui pourraient indiquer du tunneling DNS. L'analyse du trafic HTTP pour les charges utiles codées importantes au format texte brut est également cruciale. La surveillance de l'exécution d'outils de post-exploitation connus, tels que Cobalt Strike et Meterpreter, aide à identifier l'activité C2. La détection de pics de trafic sortant sur les ports C2 courants peut également exposer les tentatives d'exfiltration. La corrélation des recherches de domaine suspectes avec les exécutions de processus peut révéler les communications C2 basées sur Tor.