클라우드 포렌식: Azure Virtual Desktop에서의 포렌식 준비 및 사고 대응

원격 근무 확산으로 인해 Azure Virtual Desktop(AVD)이 공격자들의 주요 표적이 되고 있습니다. 위협 행위자들은 탈취된 AVD 사용자 계정을 악용하여 악성코드 설치 없이 측면 이동 및 지속적인 침투를 시도합니다. AVD 침해는 종종 은밀하게 이루어지므로 신속한 탐지 및 조사가 필요합니다. 기존의 포렌식 기법은 AVD의 고유한 아키텍처 때문에 어려움을 겪으며, 새로운 전략이 요구됩니다. 이 게시물에서는 AVD 환경에서 포렌식 준비 태세를 구축하고 조사를 수행하는 방법을 자세히 설명합니다. 위협 행위자들은 도난당한 자격 증명과 탈취된 신원을 사용하여 리소스에 액세스합니다. AVD는 세션 호스트와 FSLogix를 사용하며, 사용자 프로필을 VHD로 저장합니다. 로깅은 매우 중요하며, 진단 로그는 초기에 비활성화되는 경우가 많지만 필수적입니다. 조사에는 디스크 스냅샷 및 VHD 추출을 포함한 실시간 및 오프라인 수집이 모두 포함됩니다. 분석가는 브라우저 데이터, 레지스트리 하이브 및 시작 항목을 살펴봐야 합니다. 성공적인 위협 헌팅은 신원, Azure 플랫폼 및 호스트 아티팩트를 검토하는 데 달려 있습니다. 주요 헌팅 목표는 위협 행위자가 어디에서 로그인했는지 식별하는 것입니다.