创建快照 攻击者可能会在云账户中创建快照或数据备份以规避防御。快照是现有云计算组件(如虚拟机(VM)、虚拟硬盘或卷)的时间点副本。攻击者可能会利用权限创建快照,以绕过阻止访问现有计算服务基础设施的限制,这与恢复云实例不同,在后者中,攻击者可能会恢复到快照以规避检测并删除其存在的证据。 攻击者可能会创建云实例,将一个或多个创建的快照挂载到该实例,然后应用允许攻击者访问所创建实例的策略,例如允许其入站和出站SSH访问的防火墙策略。(引用:Mandiant M-Trends 2020)