8、不匹配的端口应用流量

　　攻击者经常利用模糊的端口来绕过更简单的web过滤技术。所以，当应用程序使用不寻常的端口时，这可能表明命令控制流量正在伪装成“正常”的应用程序行为。

　　Rook Consulting公司SOC分析师Tom Gorup表示，“我们可能会发现受感染的主机发送命令控制通信到端口80，它们伪装成DNS请求，乍一看，这些请求可能像是标准DNS查询;然而，你仔细看的话，你会发现这些流量通过非标准的端口。”

　　9、可疑的注册表或系统文件的更改

　　恶意软件编写者在受感染主机内保持长期存在的方法之一是通过注册表的更改。

　　当应对基于注册表的IOC时，创建基线是最重要的部分，Gorup表示，“定义正常的注册表应该包含的内容，这基本上创建了一个过滤器。监测和警报偏离正常模板的变更，将提高安全团队的响应时间。”

　　同样地，很多攻击者可能会留下迹象表明，他们已经篡改了主机的系统文件和配置，企业可以通过查看这些变化来快速发现受感染系统。

　　他表示，“可能发生的情况是，攻击者将安装数据包嗅探软件来获取信用卡数据，攻击者会瞄准可以查看网络流量的系统，然后安装这种工具。虽然捕捉这种攻击的机会很渺茫(因为它们非常具有针对性，可能以前没有见到过)，但企业可以发现系统的变更。”

　　10、DNS请求异常

　　根据Palo Alto公司高级安全分析师Wade Williamson表示，企业应该查看的最有效的攻击迹象是，恶意DNS请求留下的告密者模式。

　　他表示，“命令控制流量通常对于攻击者是最重要的流量，因为它允许他们持续管理攻击，并且，他们需要保护这种流量，以确保安全专家不会轻易发现，企业应该识别这种流量的独特模式，因为它能够用来发现攻击活动。”

　　他表示，“当来自特定主机的DNS请求明显增加时，这可能表明潜在的可疑行为，查看到外部主机的DNS请求模式，将其与地理IP和声誉数据对照，并不熟适当的过滤，可以帮助缓解通过DNS的命令控制。”

　　11、莫名其妙的系统漏洞修复

　　系统修复通常是好事情，但如果系统突然毫无征兆地进行修复，这可能表明攻击者正在锁定系统，使其他攻击者不能使用它来进行其他犯罪活动。

　　“大多数攻击者试图利用你的数据来赚钱，他们当然不希望与其他人分享胜利果实，”Webb表示。

　　12、移动设备配置文件变更

　　随着攻击者转移到移动平台，企业应该关注移动用户的设备配置中的不寻常的变更。他们还应该查看正常应用程序的变更，更换成可能携带中间人攻击或者诱使用户泄露其登陆凭证的程序。

　　Marble Security公司创始人兼首席信息官Dave Jevans表示，“如果托管移动设备获得一个新的配置文件，而不是由企业提供的，这可能表明用户的设备以及其企业登陆凭证受到感染，这些配置文件可能通过钓鱼攻击或者鱼叉式钓鱼攻击被安装在移动设备上。”

　　13、数据位于错误的位置

　　根据EventTracker的Ananth表示，攻击者通常在尝试渗出之前，会将数据放在系统的收集点。如果你突然看到千兆级信息和数据位于错误的位置，并且以你们公司没有使用的压缩格式，这就表明攻击的存在。

　　通常情况下，当文件位于不寻常的位置时，企业应该进行严格审查，因为这可能表明即将发生数据泄露事故。HBGary公司威胁情报主管Matthew Standart表示：“在奇怪位置的文件，例如回收站的根文件夹内，很难通过Windows发现，但这些可以通过精心制作的指示器来查找。”

　　14、非人类行为的web流量

　　Blue Coat公司威胁研究主管Andrew Brandt表示，与正常人类行为不匹配的web流量不应该通过嗅探测试。

　　他表示，“你在什么情况下会同时打开不同网站的20个或者30个浏览器窗口?感染了不同点击欺诈恶意软件的计算机可能会在短时间内产生大量Web流量。例如，在具有锁定软件政策的企业网络中，每个人都只能使用一种浏览器类型，分析师可能会发现这样的web会话，用户代理字符显示用户在使用企业不允许的浏览器类型，或者甚至不存在的版本。”

　　15、DDoS攻击活动的迹象

　　分布式拒绝服务攻击(DDoS)经常被攻击者用作烟雾弹来掩饰其他更恶劣的攻击。如果企业发现DDoS的迹象，例如缓慢的网络性能、无法使用网站、防火墙故障转移或者后端系统莫名其妙地以最大容量运行，他们不应该只是担心这些表面的问题。

　　Corero Network Security公司首席执行官Ashley Stephenson表示，“除了超负荷主流服务外，DDoS攻击通常还会‘压垮’安全报告系统，例如IPS/IDS或者SIEM解决方案，这可以让攻击者植入恶意软件或窃取敏感数据。因此，任何DDoS攻击都应该被视为相关数据泄露活动的迹象。”