将数据传输到云账户

对手可能通过将数据传输到他们控制的同一服务上的另一个云账户来外传数据，包括通过共享/同步和创建云环境的备份。 监控正常文件传输或通过命令和控制通道进行的大量传输的防御者可能不会关注在同一云提供商内的账户之间的数据传输。这些传输可能利用现有的云提供商 API 和云提供商的内部地址空间，以融入正常流量或避免通过外部网络接口的数据传输。(引用: TLDRSec AWS Attacks) 对手还可能使用云原生机制将受害者数据共享给对手控制的云账户，例如创建匿名文件共享链接或在 Azure 中创建共享访问签名 (SAS) URI。(引用: Microsoft Azure Storage Shared Access Signature) 已观察到的事件中，对手创建了云实例的备份并将其传输到单独的账户。(引用: DOJ GRU Indictment Jul 2018)