TL;DR. Los operadores de ransomware borran rutinariamente sus herramientas y reinician. ShimCache suele sobrevivir, preservando rutas de droppers y herramientas de staging anteriores al cifrado. Saca la colmena SYSTEM y una imagen de memoria si el host no se ha reiniciado limpiamente, luego corrobora con AmCache para atribución por hash.
Las investigaciones de ransomware son forense contra el viento: discos cifrados, herramientas borradas, a veces registros de eventos truncados, y un atacante incentivado a reiniciar. El ShimCache es uno de los pocos artefactos que sigue respondiendo a las preguntas básicas en ese entorno. Este post es una guía táctica para usarlo.
Qué preserva típicamente el ShimCache en un caso de ransomware
En un caso típico, al llegar tú:
- El binario cifrador suele estar borrado — por sí mismo o por un script de limpieza.
- El directorio Prefetch puede haber sido vaciado si el atacante lo pensó.
- Los registros de eventos a veces están truncados (el event ID 1102 es el indicador clásico).
- AmCache persiste (se escribe continuamente) pero solo lleva entradas para los binarios que Windows tuvo tiempo de registrar.
- El ShimCache persiste lo que se flusheó en el último apagado limpio — y eso suele ser el dropper y las herramientas de staging que corrieron al principio de la intrusión.
Como el ShimCache solo se vuelca al apagar (detalles aquí), el estado más útil a menudo se saca de una imagen de memoria del sistema comprometido en marcha antes del reinicio. Si el sistema ya reinició, la colmena en disco te da todo lo que se persistió hasta ese punto.
Las tres preguntas que el ShimCache ayuda a responder
1. ¿Qué se ejecutó antes del cifrado?
Ordena el ShimCache por mtime y avanza hacia atrás desde la ventana sospechosa de cifrado. Las rutas de dropper en \Temp\, \AppData\ o \ProgramData\ aparecen con regularidad. Cruza con AmCache para los hashes (ver ShimCache vs AmCache).
2. ¿A dónde más pivotaron?
El ShimCache captura ejecutables en volúmenes conectados. Los hits en rutas UNC (\\?\UNC\) o letras de unidad inusuales señalan la infraestructura de movimiento lateral — el servidor de archivos desde el que stagearon, el directorio de herramientas admin compartido, el volumen de copia que intentaron borrar.
3. ¿Cuáles fueron las herramientas de staging? PSExec, WMIExec, mimikatz, beacons de Cobalt Strike, instaladores de AnyDesk/TeamViewer, loaders custom — todos dejan rastros en el ShimCache. Muchos playbooks de ransomware reutilizan los mismos nombres de herramienta; un escaneo de ShimCache contra tu lista estándar de indicadores los pilla rápido.
Un flujo corto
- Adquiere la colmena SYSTEM del disco (
C:\Windows\System32\config\SYSTEM+ logs de transacción). En un host activo, considera también una imagen de memoria — mira Extraer el ShimCache de un volcado de memoria. - Parsea a una tabla
(ruta, mtime, formato). El Shimcache Parser mantiene la colmena offline en tu navegador. - Filtra por las firmas del playbook ransomware: nombres de cifradores, instaladores RMM (AnyDesk, ScreenConnect, Splashtop), herramientas de credenciales, utilidades de archivo (
7z,winrar) usadas para staging de exfiltración. - Tría con el flujo de caza de malware.
- Construye una línea temporal combinando ShimCache, AmCache, Prefetch y registros de eventos — el post sobre líneas temporales cubre las herramientas.
- Vigila la manipulación. Un ShimCache sospechosamente corto o vacío en un host comprometido puede ser por sí mismo un indicador — mira detección anti-forense.
No exageres lo que ves
Las pruebas de ShimCache en informes de ransomware son escrutadas por aseguradoras, abogados y equipos de threat intel. Sé preciso:
- Un hit de ShimCache sobre
encryptor.exeprueba que el archivo estuvo en disco en algún momento. No prueba que ese archivo fuera el que cifró (esa es la advertencia de prueba de ejecución). - El mtime es la fecha de última modificación del archivo, no cuándo se ejecutó el ransomware.
- Corrobora siempre con SHA-1 de AmCache para atribución basada en hash.
Lectura adicional
Windows.Registry.AppCompatCachede Velociraptor — colección a escala en muchos hosts comprometidos.- AppCompatCacheParser de Eric Zimmerman — parsing offline para trabajo de caso.
- ShimCache & AmCache forensic analysis (Mehrnoush) — walkthrough IR extendido.