攻撃者は、既存のコマンド＆コントロール（C2）チャネルを使用して、データを秘密裏に抜き取ることがあります。彼らは、盗まれた情報を継続的なC2トラフィックに埋め込み、自分の行為を隠蔽します。この技術は、Exfiltration Over Command and Control Channelとして知られており、MITRE ATT&CK® T1041として識別されます。このような攻撃を検出するには、機密情報が漏洩される前に異常なデータ転送を捉えるための警戒心が必要です。一つの方法は、大きな外部データ転送を持つネットワーク接続を特定し、転送期間を追跡することです。別のアプローチは、異常に長いDNSクエリーを検出することで、DNSトンネリングを示唆する可能性があります。平文形式の大きなエンコードペイロードを持つHTTPトラフィックを分析することも重要です。既知のポストエクスプロイトツール、例えばCobalt StrikeやMeterpreterの実行を監視することで、C2アクティビティを特定することができます。共通のC2ポート上でのアウトバウンドトラフィックのスパイクを検出することで、さらなる抜き取りの試みを暴露することができます。疑わしいドメインルックアップとプロセス実行を相互に関連付けることで、TorベースのC2コミュニケーションを明らかにすることができます。