创建云实例

对手可能会在云账户的计算服务中创建一个新实例或虚拟机（VM），以规避防御。创建新实例可能允许对手绕过当前账户中实例上存在的防火墙规则和权限。对手可能会创建快照一个或多个账户中的卷，创建一个新实例，挂载快照，然后应用一个较少限制的安全策略，以收集本地系统数据或进行远程数据暂存。(引用: Mandiant M-Trends 2020) 创建新实例还可能允许对手在环境中进行恶意活动，而不影响当前运行实例的执行。