TL;DR. Ransomware-Akteure löschen routinemäßig Tools und starten neu. Der ShimCache überlebt das oft und bewahrt Dropper-Pfade und Staging-Tools aus der Zeit vor der Verschlüsselung. Sichern Sie die SYSTEM-Hive und ein Speicher-Image, falls der Host nicht sauber neu gestartet wurde, und korroborieren Sie dann per AmCache zur Hash-basierten Attribution.
Ransomware-Ermittlungen sind Forensik gegen den Wind: verschlüsselte Disks, gelöschte Tools, teils gekürzte Ereignisprotokolle und ein Angreifer, der zum Reboot motiviert ist. Der ShimCache ist eines der wenigen Artefakte, das in dieser Umgebung trotzdem oft die Grundfragen beantwortet. Dieser Beitrag ist eine taktische Anleitung.
Was der ShimCache in Ransomware-Fällen typischerweise bewahrt
In einem typischen Ransomware-Einsatz, wenn Sie eintreffen:
- Die Verschlüsselungs-Binärdatei ist meist weg — vom Tool selbst oder einem Cleanup-Skript entfernt.
- Das Prefetch-Verzeichnis kann geleert sein, falls der Angreifer daran dachte.
- Ereignisprotokolle sind manchmal abgeschnitten (Event-ID 1102 ist das klassische Indiz).
- AmCache persistiert (kontinuierliches Schreiben), enthält aber nur Einträge für Binärdateien, die Windows registrieren konnte.
- Der ShimCache persistiert das, was beim letzten sauberen Shutdown geflusht wurde — häufig den Dropper und die Staging-Tools, die früh im Angriff liefen.
Da der ShimCache nur beim Shutdown geflusht wird (Details), liegt der nützlichste Zustand oft in einem Speicher-Image des laufenden kompromittierten Systems vor dem Reboot. Wenn der Host bereits neu gestartet wurde, liefert die On-Disk-Hive alles, was zum Zeitpunkt persistiert war.
Die drei Fragen, bei denen der ShimCache hilft
1. Was lief vor der Verschlüsselung?
ShimCache nach mtime sortieren und vom vermuteten Verschlüsselungsfenster rückwärts gehen. Dropper-Pfade in \Temp\, \AppData\ oder \ProgramData\ tauchen regelmäßig auf. Mit AmCache für Hashes kreuzen (ShimCache vs AmCache).
2. Wohin haben sie sonst noch pivotiert?
Der ShimCache erfasst ausführbare Dateien auf angeschlossenen Volumes. Treffer auf UNC-Pfade (\\?\UNC\) oder ungewöhnliche Laufwerksbuchstaben weisen auf Lateral-Movement-Infrastruktur hin — den Dateiserver fürs Staging, ein gemeinsames Admin-Tools-Verzeichnis, das Backup-Volume, das gelöscht werden sollte.
3. Welche waren die Staging-Tools? PSExec, WMIExec, mimikatz, Cobalt-Strike-Beacons, AnyDesk-/TeamViewer-Installer, Custom-Loader — sie alle hinterlassen ShimCache-Spuren. Viele Ransomware-Playbooks recyceln dieselben Tool-Namen; ein ShimCache-Scan gegen Ihre Standard-Indikatorliste fängt sie schnell.
Ein kurzer Workflow
- SYSTEM-Hive von Disk akquirieren (
C:\Windows\System32\config\SYSTEM+ Transaktionslogs). Auf einem laufenden Host zusätzlich ein Speicher-Image ziehen — siehe ShimCache aus einem Speicher-Dump. - Parsen in eine
(Pfad, mtime, Format)-Tabelle. Der Shimcache Parser hält die Hive offline in Ihrem Browser. - Filtern nach Ransomware-Playbook-Signaturen: Encryptor-Namen, RMM-Installer (AnyDesk, ScreenConnect, Splashtop), Credential-Tools, Archiv-Utilities (
7z,winrar) fürs Exfil-Staging. - Triage mit dem Malware-Hunting-Workflow.
- Timeline bauen, die ShimCache, AmCache, Prefetch und Ereignisprotokolle kombiniert — der Timeline-Beitrag zeigt die Werkzeuge.
- Auf Manipulation achten. Ein verdächtig kurzer oder leerer ShimCache auf einem kompromittierten Host kann selbst ein Indikator sein — siehe Anti-Forensik-Erkennung.
Nicht überfordern, was Sie sehen
ShimCache-Beweise in Ransomware-Berichten werden von Versicherern, Anwälten und Threat-Intel-Teams genau geprüft. Präzise formulieren:
- Ein ShimCache-Treffer auf
encryptor.exebeweist, dass die Datei irgendwann auf Disk war. Er beweist nicht, dass diese Datei die Verschlüsselung durchgeführt hat (siehe Proof-of-Execution-Caveat). - Der mtime ist die letzte Änderungszeit der Datei, nicht der Ausführungszeitpunkt der Ransomware.
- Für Hash-basierte Attribution immer mit AmCache-SHA-1 korroborieren.
Weiterführende Quellen
- Velociraptors
Windows.Registry.AppCompatCache— Sammlung über viele kompromittierte Hosts hinweg. - Eric Zimmermans AppCompatCacheParser — Offline-Parsing für die Fallarbeit.
- ShimCache & AmCache forensic analysis (Mehrnoush) — erweiterter IR-Durchlauf.