T1104
زیرساخت چند مرحلهای
Multi-Stage Channelsتوضیحات
مهاجمان از زیرساخت C2 چند مرحلهای استفاده میکنند که در آن payload اولیه یک C2 ثانویه را دانلود میکند تا ردیابی را دشوارتر کنند.
روشهای شناسایی
نظارت بر دانلود payload های ثانویه. بررسی اتصالات به سرورهای C2 مختلف.
روشهای مقابله
مسدود کردن اتصالات خروجی غیرمجاز. استفاده از sandboxing برای تحلیل payload.