TL;DR. Gli operatori ransomware cancellano abitualmente i loro tool e riavviano. Lo ShimCache spesso sopravvive a tutto questo, conservando i percorsi dei dropper e degli strumenti di staging precedenti alla cifratura. Estrai la hive SYSTEM e un'immagine di memoria se l'host non è stato riavviato in modo pulito, poi corrobora con AmCache per l'attribuzione basata su hash.
Le indagini ransomware sono forense controvento: dischi cifrati, tool cancellati, log eventi a volte troncati, e un attaccante incentivato al riavvio. Lo ShimCache è uno dei pochi artefatti che continua spesso a rispondere alle domande basilari in quell'ambiente. Questo post è una guida tattica all'uso.
Cosa preserva tipicamente lo ShimCache in un caso ransomware
In un tipico ingaggio ransomware, al tuo arrivo:
- Il binario di cifratura di solito è sparito — eliminato da sé stesso o da uno script di pulizia.
- La directory Prefetch può essere stata svuotata se l'attaccante ci ha pensato.
- I log eventi sono talvolta troncati (l'event ID 1102 è l'indicatore classico).
- AmCache persiste (scrittura continua) ma porta solo voci per i binari che Windows ha avuto tempo di registrare.
- Lo ShimCache persiste ciò che è stato flushato all'ultimo arresto pulito — e spesso si tratta del dropper e dei tool di staging che hanno girato presto nell'intrusione.
Poiché lo ShimCache viene flushato solo allo spegnimento (dettagli qui), lo stato più utile viene spesso estratto da un'immagine di memoria del sistema compromesso in funzione prima del riavvio. Se il sistema è già stato riavviato, la hive su disco ti dà tutto ciò che era stato persistito a quel punto.
Le tre domande a cui lo ShimCache aiuta a rispondere
1. Cosa è stato eseguito prima della cifratura?
Ordina lo ShimCache per mtime e cammina all'indietro dalla finestra sospetta di cifratura. I percorsi dei dropper in \Temp\, \AppData\ o \ProgramData\ ricorrono regolarmente. Incrocia con AmCache per gli hash (vedi ShimCache vs AmCache).
2. Dove altro hanno pivotato?
Lo ShimCache cattura eseguibili sui volumi collegati. Gli hit su percorsi UNC (\\?\UNC\) o lettere di unità inusuali indicano l'infrastruttura di lateral movement — il file server da cui hanno fatto staging, la directory tool admin condivisa, il volume di backup che hanno tentato di cancellare.
3. Quali erano i tool di staging? PSExec, WMIExec, mimikatz, beacon Cobalt Strike, installer AnyDesk/TeamViewer, loader custom — tutti lasciano tracce ShimCache. Molti playbook ransomware riusano gli stessi nomi di tool; uno scan ShimCache contro la tua lista standard di indicatori li prende velocemente.
Un workflow breve
- Acquisisci la hive SYSTEM dal disco (
C:\Windows\System32\config\SYSTEM+ log di transazione). Su un host attivo, considera anche un'immagine di memoria — vedi Estrarre lo ShimCache da un dump di memoria. - Parsea in una tabella
(percorso, mtime, formato). Lo Shimcache Parser tiene la hive offline nel browser. - Filtra sulle firme del playbook ransomware: nomi degli encryptor, installer RMM (AnyDesk, ScreenConnect, Splashtop), tool per credenziali, utility di archivio (
7z,winrar) usate per staging di esfiltrazione. - Tria con il workflow di caccia ai malware.
- Costruisci una timeline combinando ShimCache, AmCache, Prefetch e log eventi — il post sulla timeline descrive gli strumenti.
- Sorveglia la manomissione. Uno ShimCache sospettosamente corto o vuoto su un host compromesso può essere di per sé un indicatore — vedi rilevamento anti-forense.
Non esagerare ciò che vedi
Le prove ShimCache nei report ransomware sono scrutinate da assicuratori, legali e team threat intel. Sii preciso:
- Un hit ShimCache su
encryptor.exeprova che il file era su disco a un certo punto. Non prova che quel file abbia eseguito la cifratura (è la cautela sulla prova di esecuzione). - L'mtime è la data di ultima modifica del file, non quando il ransomware ha girato.
- Corrobora sempre con l'SHA-1 di AmCache per l'attribuzione basata su hash.
Approfondimenti
Windows.Registry.AppCompatCachedi Velociraptor — raccolta su scala su molti host compromessi.- AppCompatCacheParser di Eric Zimmerman — parsing offline per il lavoro di caso.
- ShimCache & AmCache forensic analysis (Mehrnoush) — walkthrough IR esteso.