数据分阶段

对手可能会在外传之前将收集的数据分阶段存储在中央位置或目录中。数据可以保存在单独的文件中，也可以通过技术（例如 归档收集的数据）合并到一个文件中。可以使用交互式命令外壳，并且可以使用 cmd 和 bash 中的常见功能将数据复制到分阶段位置。(引用: PWC Cloud Hopper April 2017) 在云环境中，对手可能会在外传之前将数据分阶段存储在特定实例或虚拟机中。对手可能会 创建云实例 并在该实例中分阶段存储数据。(引用: Mandiant M-Trends 2020) 对手可能会选择在外传之前将受害者网络中的数据分阶段存储在集中位置，以最大限度地减少与其 C2 服务器建立连接的次数，并更好地规避检测。