敌手经常使用已建立的命令和控制（C2）通道来秘密地泄露数据。他们将窃取的信息嵌入正在进行的C2流量中，以隐藏他们的行为。这项技术被称为命令和控制通道上的泄露，标识为MITRE ATT&CK® T1041。检测这需要警惕性，以便在敏感信息被泄露之前发现异常的数据传输。一个方法是识别具有大量外部数据传输的网络连接，跟踪传输持续时间。另一种方法是检测异常长的DNS查询，可能表明DNS隧道。分析HTTP流量中的大型、编码的有效负载以纯文本格式也至关重要。监控已知的后期开发工具（如Cobalt Strike和Meterpreter）的执行，以识别C2活动。检测常见C2端口上的出站流量峰值可以进一步暴露泄露尝试。将可疑的域名查找与进程执行相关联，可以揭露基于Tor的C2通信。