Противники часто используют установленные каналы команд и управления (C2) для скрытой эксфильтрации данных. Они встраивают украденную информацию в текущий трафик C2, скрывая свои действия. Этот метод, известный как Эксфильтрация через канал команд и управления, идентифицирован как MITRE ATT&CK® T1041. Обнаружение этого требует бдительности, чтобы заметить необычные передачи данных до того, как чувствительная информация будет скомпрометирована. Один из методов заключается в идентификации сетевых подключений с большими внешними передачами данных, отслеживании продолжительности передачи. Другой подход - обнаружение аномально длинных запросов DNS, потенциально указывающих на туннелирование DNS. Анализ HTTP-трафика на наличие крупных, закодированных полезных нагрузок в текстовом формате также является важным. Мониторинг выполнения известных инструментов постэксплуатации, таких как Cobalt Strike и Meterpreter, помогает идентифицировать активность C2. Обнаружение всплесков исходящего трафика через общие порты C2 может дальнейшим образом раскрыть попытки эксфильтрации. Корреляция подозрительных запросов домена с выполнением процессов может раскрыть коммуникации C2 на основе Tor.