Usando o ShimCache em investigações de ransomware

4 min de leitura

TL;DR. Operadores de ransomware rotineiramente apagam ferramentas e reiniciam. O ShimCache frequentemente sobrevive a isso, preservando caminhos de droppers e ferramentas de staging anteriores à criptografia. Puxe a hive SYSTEM e uma imagem de memória se o host não foi reiniciado de forma limpa, e então corrobore com AmCache para atribuição baseada em hash.

Investigações de ransomware são forense contra o vento: discos criptografados, ferramentas apagadas, às vezes logs de eventos truncados, e um atacante incentivado a reiniciar. O ShimCache é um dos poucos artefatos que continua a responder às perguntas básicas nesse ambiente. Este post é um guia tático para usá-lo.

O que o ShimCache tipicamente preserva em um caso de ransomware

Em um engajamento típico de ransomware, quando você chega:

  • O binário criptografador geralmente sumiu — apagado por ele mesmo ou por script de limpeza.
  • O diretório Prefetch pode ter sido esvaziado se o atacante lembrou disso.
  • Logs de eventos às vezes estão truncados (event ID 1102 é o indicador clássico).
  • AmCache persiste (escrita contínua), mas só carrega entradas para os binários que o Windows teve tempo de registrar.
  • O ShimCache persiste o que foi gravado no último desligamento limpo — e isso frequentemente é o dropper e as ferramentas de staging que rodaram cedo na intrusão.

Como o ShimCache só é gravado no desligamento (detalhes aqui), o estado mais útil costuma ser puxado de uma imagem de memória do sistema comprometido em funcionamento antes do reinício. Se o sistema já reiniciou, a hive em disco te dá tudo que foi persistido naquele ponto.

As três perguntas que o ShimCache ajuda a responder

1. O que rodou antes da criptografia? Ordene o ShimCache por mtime e caminhe para trás a partir da janela suspeita de criptografia. Caminhos de dropper em \Temp\, \AppData\ ou \ProgramData\ aparecem regularmente. Cruze com AmCache para hashes (veja ShimCache vs AmCache).

2. Para onde mais eles pivotaram? O ShimCache captura executáveis em volumes anexados. Hits em caminhos UNC (\\?\UNC\) ou letras de unidade incomuns apontam para a infraestrutura de movimento lateral — o file server de onde fizeram staging, o diretório de ferramentas admin compartilhado, o volume de backup que tentaram apagar.

3. Quais foram as ferramentas de staging? PSExec, WMIExec, mimikatz, beacons Cobalt Strike, instaladores AnyDesk/TeamViewer, loaders custom — todos deixam rastros no ShimCache. Muitos playbooks de ransomware reusam os mesmos nomes; uma varredura do ShimCache contra sua lista padrão de indicadores pega-os rápido.

Um fluxo curto

  1. Adquira a hive SYSTEM do disco (C:\Windows\System32\config\SYSTEM + logs de transação). Em um host ativo, considere também uma imagem de memória — veja Extraindo o ShimCache de um dump de memória.
  2. Parseie para uma tabela (caminho, mtime, formato). O Shimcache Parser mantém a hive offline no seu navegador.
  3. Filtre pelas assinaturas do playbook ransomware: nomes de criptografadores, instaladores RMM (AnyDesk, ScreenConnect, Splashtop), ferramentas de credenciais, utilitários de arquivamento (7z, winrar) usados para staging de exfiltração.
  4. Triagem com o fluxo de caça a malware.
  5. Construa uma timeline combinando ShimCache, AmCache, Prefetch e logs de eventos — o post sobre timeline cobre as ferramentas.
  6. Observe adulteração. Um ShimCache suspeitamente curto ou vazio em um host comprometido pode ser, ele mesmo, um indicador — veja detecção anti-forense.

Não exagere o que vê

Provas de ShimCache em relatórios de ransomware são escrutinadas por seguradoras, advogados e equipes de threat intel. Seja preciso:

  • Um hit ShimCache em encryptor.exe prova que o arquivo esteve em disco em algum momento. Não prova que esse arquivo foi o que executou a criptografia (essa é a ressalva sobre prova de execução).
  • O mtime é a última modificação do arquivo, não quando o ransomware rodou.
  • Sempre corrobore com SHA-1 do AmCache para atribuição baseada em hash.

Leitura adicional

Artigos relacionados