运行虚拟实例

对手可能会使用虚拟实例执行恶意操作以避免检测。存在多种虚拟化技术，可以模拟计算机或计算环境。通过在虚拟实例中运行恶意代码，对手可以隐藏与其行为相关的工件，使安全工具无法监控虚拟实例内的活动。此外，根据虚拟网络实现（例如：桥接适配器），虚拟实例生成的网络流量可能难以追溯到受感染的主机，因为 IP 地址和主机名可能不匹配已知值。(引用: SingHealth Breach Jan 2019) 对手可能会利用虚拟化的本机支持（例如：Hyper-V）或放置运行虚拟实例所需的文件（例如：VirtualBox 二进制文件）。在运行虚拟实例后，对手可能会在来宾和主机之间创建一个共享文件夹，权限允许虚拟实例与主机文件系统交互。(引用: Sophos Ragnar May 2020)