标准加密协议

对手可能会明确采用已知的加密算法来隐藏命令和控制流量，而不是依赖于通信协议提供的任何固有保护。尽管使用了安全算法，但是如果在恶意软件样本/配置文件中对必要的秘密密钥进行了编码和/或生成，则这些实现可能容易受到逆向工程的影响。

Adversaries may explicitly employ a known encryption algorithm to conceal command and control traffic rather than relying on any inherent protections provided by a communication protocol. Despite the use of a secure algorithm, these implementations may be vulnerable to reverse engineering if necessary secret keys are encoded and/or generated within malware samples/configuration files.

标签

ID编号： T1521

战术类型： 事后访问设备

策略： 命令与控制

平台： Android，iOS

程序示例

名称	描述
Rotexy(S0411)	Rotexy(S0411) 使用AES加密JSON HTTP有效负载。

Name	Description
Rotexy(S0411)	Rotexy(S0411) encrypts JSON HTTP payloads with AES.

缓解措施

这种攻击技术无法通过预防性控制轻松缓解，因为它基于滥用系统功能。

This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.

检测

由于数据加密是许多合法应用程序中的普遍做法，并且使用特定于标准编程语言的API，因此用户无法检测到用于命令和控制通信的数据加密。

Since data encryption is a common practice in many legitimate applications and uses standard programming language-specific APIs, encrypting data for command and control communication is undetectable to the user.