Облачная криминалистика: готовность к проведению экспертизы и реагирование на инциденты в Azure Virtual Desktop

Azure Virtual Desktop (AVD) становится главной мишенью для злоумышленников из-за его расширяющегося использования в удаленной работе. Злоумышленники используют скомпрометированные учетные записи пользователей AVD для бокового перемещения и закрепления без установки вредоносного ПО. Вторжения в AVD часто скрытны и требуют быстрого обнаружения и расследования. Традиционная криминалистика испытывает трудности с уникальной архитектурой AVD, что требует новых стратегий. В этом посте подробно рассказывается, как подготовиться к криминалистике и проводить расследования в средах AVD. Злоумышленники используют украденные учетные данные и скомпрометированные идентификаторы для доступа к ресурсам. AVD использует хосты сеансов и FSLogix, храня профили пользователей в виде VHD-файлов. Ведение журналов имеет решающее значение; журналы диагностики часто изначально отключены, но необходимы. Расследование включает как сбор данных в реальном времени, так и в автономном режиме, включая снимки дисков и извлечение VHD-файлов. Аналитики должны изучить данные браузера, кусты реестра и элементы автозагрузки. Успешная охота за угрозами зависит от изучения идентификационных данных, платформы Azure и артефактов хоста. Основными целями охоты являются определение места входа злоумышленника.