공격자들은 데이터를 은밀하게 유출하기 위해 종종 기존의 명령 및 제어(C2) 채널을 이용합니다. 훔친 정보를 진행 중인 C2 트래픽에 삽입하여 자신의 행동을 은폐합니다. 이 기법은 명령 및 제어 채널을 통한 유출(Exfiltration Over Command and Control Channel)로 알려져 있으며, MITRE ATT&CK® T1041로 식별됩니다. 이를 탐지하려면 중요한 정보가 손상되기 전에 비정상적인 데이터 전송을 감지하기 위한 경계심이 필요합니다. 한 가지 방법은 대량의 외부 데이터 전송이 있는 네트워크 연결을 식별하고 전송 시간을 추적하는 것입니다. 또 다른 방법은 비정상적으로 긴 DNS 쿼리를 감지하여 DNS 터널링 가능성을 확인하는 것입니다. 평문 형식으로 대용량의 인코딩된 페이로드가 있는 HTTP 트래픽을 분석하는 것도 중요합니다. Cobalt Strike 및 Meterpreter와 같은 알려진 침해 후 활용 도구의 실행을 모니터링하면 C2 활동을 식별하는 데 도움이 됩니다. 일반적인 C2 포트를 통한 아웃바운드 트래픽 급증을 모니터링하면 유출 시도를 더욱 노출시킬 수 있습니다. 의심스러운 도메인 조회를 프로세스 실행과 상관시키면 Tor 기반 C2 통신을 밝혀낼 수 있습니다.