¿Cómo limpiaría un atacante Amcache?

Tres enfoques comunes: borrar directamente Amcache.hve y sus journals de transacciones (ruidoso, recreado por la siguiente pasada del appraiser); editar selectivamente subclaves individuales de InventoryApplicationFile (sutil, requiere acceso equivalente al Editor del Registro mientras el hive está cargado); o desactivar la tarea programada Compatibility Appraiser para congelar el hive (astuto, pero la ausencia de nuevas entradas es en sí misma una pista).

¿Cómo detecto manipulación de Amcache?

Enumera las Volume Shadow Copies con 'vssadmin list shadows' o vshadowmount, parsea el Amcache.hve de cada shadow copy y diff las entradas contra el hive en vivo. Entradas presentes en shadows pero ausentes en el live son evidencia de limpieza deliberada. También comprueba el LastRunTime de la tarea programada y la distribución de KeyLastWriteTimestamp del hive.

¿Limpian los atacantes Amcache típicamente?

Rara vez. La mayoría del malware comodín e incluso la mayoría de los toolkits APT no se molestan en limpiar Amcache — no es un artefacto bien conocido entre autores de malware generales, y limpiarlo requiere conocimiento específico de Windows-internals. Cuando ves señales de manipulación de Amcache, trátalo como una señal fuerte de un actor más sofisticado.

¿Cuál es el ataque más sutil contra Amcache?

Desactivar el Compatibility Appraiser vía Group Policy (AllowTelemetry=0) o desactivado de la tarea. El hive no se borra — simplemente deja de actualizarse. Un defensor que no comprueba específicamente el último tiempo de corrida del appraiser puede perdérselo enteramente.

¿Puede la evidencia de Amcache ser destruida definitivamente alguna vez?

No de forma fiable. Incluso después de edición del hive en vivo, las Volume Shadow Copies a menudo preservan el historial. Incluso después del borrado de VSS, la recuperación forense de archivos y el wear-levelling de SSD pueden recuperar versiones previas. Y los logs de eventos legados DfsTrace / SetupAct / Microsoft-Windows-Application-Experience a veces preservan la actividad del appraiser de forma independiente.

¿Puede Amcache.hve ser limpiado o modificado por un atacante?

Sí, un atacante con derechos administrativos puede borrar Amcache.hve, editar entradas específicas dentro de él, o desactivar la tarea programada Compatibility Appraiser que lo mantiene. Sin embargo, la limpieza es detectable a través de tres mecanismos: las Volume Shadow Copies típicamente preservan instantáneas recientes del hive original, los journals de transacciones del registro pueden preservar escrituras recientes, y un hive recién recreado después del borrado tiene una distribución de 'KeyLastWriteTimestamp' que comienza abruptamente en la hora de recreación en lugar de extenderse meses atrás. Combinando esas tres fuentes, la manipulación anti-forense de Amcache es uno de los comportamientos de atacante detectados más confiablemente en Windows.

¿Pueden los atacantes limpiar Amcache?

Sí — pero la limpieza es detectable. Un atacante con derechos administrativos puede borrar Amcache.hve, editar entradas específicas dentro de él, o desactivar la tarea programada Compatibility Appraiser. Ninguna de estas opciones es silenciosa. Tres fuentes forenses independientes usualmente preservan el estado previo:

Volume Shadow Copies — instantáneas puntuales del volumen tomadas por VSS, típicamente retenidas durante una a varias semanas. Cada shadow tiene su propia copia de Amcache.hve.
Journals de transacciones del registro — Amcache.hve.LOG1 y Amcache.hve.LOG2 pueden preservar escrituras recientes que el atacante no pensó en borrar.
Firma de tiempo de recreación — un hive recién recreado después del borrado tiene una distribución de KeyLastWriteTimestamp que comienza abruptamente en la hora de recreación, sin entradas extendiéndose meses atrás como esperarías en un host de larga vida.

Cómo lo intentan típicamente los atacantes#

Tres enfoques, en sutileza creciente:

1. Borrar el hive y sus logs#

# (Acción del atacante — no para que la corran los defensores)
Remove-Item 'C:\Windows\AppCompat\Programs\Amcache.hve*' -Force

Ruidoso. La siguiente pasada del appraiser recrea el hive — vacío excepto por lo que esté corriendo ahora. La firma de recreación es obvia para cualquier defensor que sepa dónde mirar.

2. Editar entradas específicas#

El atacante carga el hive (p. ej. como sub-árbol de HKLM) y borra subclaves específicas de InventoryApplicationFile correspondientes a su tooling.

Más sutil, pero los journals de transacciones del registro pueden todavía mantener las escrituras originales, y las Volume Shadow Copies mantienen el hive pre-manipulación.

3. Desactivar el appraiser#

HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection
  AllowTelemetry = REG_DWORD 0

O desactivar la tarea programada en \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser.

El hive no se modifica — simplemente deja de actualizarse. Un defensor que no comprueba el LastRunTime del appraiser puede no notarlo.

Cómo detectar manipulación#

El flujo de trabajo del defensor:

Parsea el Amcache.hve en vivo y captura la distribución de KeyLastWriteTimestamp (más temprano, más tardío, densidad por semana).
Enumera las Volume Shadow Copies y parsea la copia del hive de cada shadow. Diff contra el hive en vivo.
Comprueba la tarea programada — LastRunTime, State, historial.
Comprueba la GPO — AllowTelemetry, valores relacionados de DataCollection.

Un hive en vivo con un KeyLastWriteTimestamp que se detiene abruptamente hace algunas semanas, en un host que sabes que ha estado corriendo y viendo software nuevo, es sospechoso. Diff contra shadows para confirmar qué falta.

Para el flujo de trabajo anti-forense completo, ver Recuperar evidencia de binarios borrados desde Amcache.

¿Qué tan común es esto?#

Raro. El malware comodín y la mayoría de toolkits APT no se molestan en limpiar Amcache. El artefacto no es ampliamente conocido entre los autores de malware generales, y la limpieza efectiva requiere conocimiento de Windows-internals que la mayoría de actores no tienen.

Cuando sí ves señales de manipulación de Amcache, trátalo como una señal fuerte de un actor más sofisticado — y presta atención extra a artefactos vecinos (ShimCache, Sysmon, telemetría EDR) por manipulación similar.