TL;DR. Les opérateurs de ransomware suppriment couramment leurs outils et redémarrent. Le ShimCache survit souvent à cela, préservant les chemins de droppers et outils de staging d'avant le chiffrement. Récupérez la ruche SYSTEM et une image mémoire si l'hôte n'a pas redémarré proprement, puis corroborez avec AmCache pour l'attribution par hash.
Les enquêtes ransomware se font à contre-courant : disques chiffrés, outils supprimés, parfois journaux effacés, et l'attaquant incité à redémarrer. Le ShimCache est l'un des rares artefacts qui continue souvent à répondre aux questions basiques dans cet environnement. Ce billet est un guide tactique pour l'utiliser.
Ce que le ShimCache préserve typiquement dans un cas ransomware
Dans un engagement ransomware typique, à votre arrivée :
- Le binaire chiffreur a généralement disparu — effacé par lui-même ou par un script de nettoyage.
- Le dossier Prefetch peut avoir été vidé si l'attaquant y a pensé.
- Les journaux d'événements sont parfois tronqués (l'event ID 1102 est l'indicateur classique).
- AmCache persiste (il est écrit en continu) mais ne porte des entrées que pour les binaires que Windows a eu le temps d'enregistrer.
- Le ShimCache persiste pour ce qui a été flushé au dernier arrêt propre — et c'est fréquemment le dropper et les outils de staging qui ont tourné tôt dans l'intrusion.
Comme le ShimCache n'est flushé qu'à l'arrêt (détails ici), l'état le plus utile est souvent récupéré sur une image mémoire du système compromis en marche avant redémarrage. Si le système a déjà redémarré, la ruche sur disque vous donne tout ce qui avait été persisté à ce moment-là.
Les trois questions auxquelles le ShimCache aide à répondre
1. Qu'est-ce qui a tourné avant le chiffrement ?
Triez le ShimCache par mtime et remontez à partir de la fenêtre supposée du chiffrement. Les chemins de dropper dans \Temp\, \AppData\ ou \ProgramData\ reviennent régulièrement. Croisez avec AmCache pour les hashs (voir ShimCache vs AmCache).
2. Où d'autre ont-ils pivoté ?
Le ShimCache capture les exécutables sur les volumes connectés. Les hits sur des chemins UNC (\\?\UNC\) ou des lettres de lecteur inhabituelles pointent vers l'infrastructure de déplacement latéral — le serveur de fichiers depuis lequel ils ont mis en scène, le répertoire d'outils admin partagé, le volume de sauvegarde qu'ils ont essayé d'effacer.
3. Quels étaient les outils de staging ? PSExec, WMIExec, mimikatz, beacons Cobalt Strike, installeurs AnyDesk/TeamViewer, loaders custom — tous laissent des traces ShimCache. De nombreux playbooks ransomware réutilisent les mêmes noms d'outils ; un scan ShimCache contre votre liste d'indicateurs ransomware standard les attrape rapidement.
Un workflow court
- Acquérir la ruche SYSTEM depuis le disque (
C:\Windows\System32\config\SYSTEM+ journaux de transaction). Sur un hôte en marche, envisagez aussi une image mémoire — voir Extraire le ShimCache depuis un dump mémoire. - Parser vers une table
(chemin, mtime, format). Le Shimcache Parser garde la ruche hors ligne dans votre navigateur. - Filtrer sur les signatures du playbook ransomware : noms de chiffreur, installeurs RMM (AnyDesk, ScreenConnect, Splashtop), outils de credentials, utilitaires d'archive (
7z,winrar) utilisés pour le staging d'exfiltration. - Trier avec le workflow de chasse aux malwares.
- Construire une chronologie combinant ShimCache, AmCache, Prefetch et journaux d'événements — le billet sur la chronologie passe en revue les outils.
- Surveiller les altérations. Un ShimCache suspicieusement court ou vide sur un hôte compromis peut être en soi un indicateur — voir détection anti-forensique.
Ne sur-affirmez pas ce que vous voyez
Les preuves ShimCache dans les rapports ransomware sont scrutées par les assureurs, les avocats et les équipes de threat intel. Soyez précis :
- Un hit ShimCache sur
encryptor.exeprouve que le fichier était sur disque à un moment donné. Il ne prouve pas que ce fichier soit celui qui a chiffré (c'est la mise en garde sur la preuve d'exécution). - Le mtime est la date de dernière modification du fichier, pas le moment où le ransomware a tourné.
- Corroborez toujours avec le SHA-1 d'AmCache pour l'attribution par hash.
Pour aller plus loin
Windows.Registry.AppCompatCachede Velociraptor — collecte à grande échelle sur de nombreux hôtes compromis.- AppCompatCacheParser d'Eric Zimmerman — parsing hors ligne pour le travail de dossier.
- ShimCache & AmCache forensic analysis (Mehrnoush) — étude IR étendue.