На red team в финансовом секторе dnscat2 через TXT-записи двое суток гнал команды и сливал хеши NTDS.dit — Suricata молчала, SIEM ни алерта. DNS и HTTP получают карт-бланш от файрвола по умолчанию.MITRE T1071.004 и T1572 — это не теория. iodine создаёт виртуальный интерфейс...
Скрытые каналы передачи данных C2: DNS tunneling и HTTP covert channels от настройки до детекта
Источник: codeby.net