远程数据暂存

对手可能会在外传之前将从多个系统收集的数据暂存在一个系统的中央位置或目录中。数据可以保存在单独的文件中，也可以通过归档收集的数据等技术合并到一个文件中。可能会使用交互式命令外壳，并且可以使用 cmd 和 bash 中的常见功能将数据复制到暂存位置。 在云环境中，对手可能会在特定实例或虚拟机中暂存数据，然后再进行外传。对手可能会创建云实例并在该实例中暂存数据。(引用: Mandiant M-Trends 2020) 通过在外传之前将数据暂存在一个系统上，对手可以减少与其 C2 服务器的连接次数，从而更好地规避检测。