Was ist DFIR-Triage? (Glossar)

Triage ist der schnelle Durchgang. Zwanzig Hosts kamen aus einem Sweep zurück und die Frage ist, welche eine vollständige Untersuchung bekommen. Sie haben keine Zeit, alle zwanzig zu imagen und zu timelinen. Sie sammeln ein kleines, festes Set an Artefakten, parsen es, lassen zwei oder drei kanonische Filter laufen und produzieren ein Ja/Nein pro Host mit genug Beweisen, um die Entscheidung zu verteidigen.

Das ist der ganze Sinn. Richtig gemacht, dauert das Minuten pro Host. Falsch gemacht, produziert es so oder so falsche Sicherheit, und Sie merken es drei Wochen später.

Wie eine gute Triage aussieht#

  1. Schnell ein festes Set sammeln. KAPE !SANS_Triage, Velociraptor Windows.Forensics.Triage oder Ihr inhouse Äquivalent.
  2. Mit CSV-erzeugenden Tools parsen. Hauptsächlich Eric Zimmermans Suite.
  3. Den kanonischen Filter für jedes Artefakt anwenden. Für Amcache ist das "unsignierte PE in benutzerschreibbarem Pfad mit IsPeFile = True".
  4. Alles, was den Filter überlebt, per Hash pivotieren. VirusTotal, interner TI-Feed, Threat-Intel-Plattform.
  5. Auf den Überlebenden zeitlich eingrenzen. Ein Aktivitätsfenster um ihren KeyLastWriteTimestamp ziehen.

Das Standard-Windows-Kit#

Artefakt Die Frage, die es beantwortet
Amcache War diese PE präsent, mit welchem Hash und wann?
Prefetch Lief sie tatsächlich, und wann?
Sicherheits-Ereignisprotokoll (EVTX) Wer hat sich angemeldet, wer ist gescheitert, welche Prozesse mit welcher Kommandozeile gestartet?
Sysmon Echtzeit-Prozess, -Datei, -Netzwerk, -Image-Load.
SYSTEM-Hive Shimcache, Dienste, Autostarts.
NTUSER.DAT UserAssist, RunMRU, RecentDocs, Shellbags.
SOFTWARE-Hive Autoruns, installierte Software.
Browser-Historie Initial-Access-Vektor für Phishing oder Drive-by.
Kürzliche MFT / USN Dateisystem-Creates um das verdächtige Fenster.

Warum Amcache ihren Platz vorne verdient#

Drei Gründe. Es ist eine Datei. Sie trägt Hashes, die Sie direkt an VirusTotal schicken können. Sie überlebt das Löschen der Binärdatei besser als alles andere im Set. Der Filter "unsignierte PE in benutzerschreibbarem Pfad" auf UnassociatedFileEntries.csv liefert typischerweise unter 50 Zeilen auf einer typisch infizierten Workstation, und die meisten davon leuchten entweder bei einem TI-Lookup auf oder haben eine offensichtlich gutartige Erklärung (portable Apps, Dev-Tools).

Für das vollständige Amcache-getriebene Triage-Playbook siehe Commodity-Malware mit Amcache jagen.

Verwandte Begriffe#

Verwandte Beiträge

  • Was ist SRUM (SRUDB.dat)? (Glossar)

    SRUM ist die ESE-Datenbank, mit der Windows die Ressourcennutzung pro Anwendung stündlich über 30 bis 60 Tage verfolgt. Das einzige Windows-Artefakt mit Netzwerk-Byte-Summen pro App. Kritisch für Exfiltration.

  • Was ist Shimcache (AppCompatCache)? (Glossar)

    Shimcache ist der vom Kernel verwaltete Loader-Cache in der SYSTEM-Hive. 1024 Einträge, kein Hash, bis zum Neustart veraltet. Anders als Amcache; paaren Sie sie.

  • Was ist Amcache ProgramId? (Glossar)

    ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.

  • Was ist Windows Prefetch? (Glossar)

    Windows Prefetch ist das Verzeichnis der .pf-Dateien, das Ausführung beweist. Bis zu 8-10 Laufzeiten pro Binary plus die in den ersten zehn Sekunden geladenen Dateien. Der stärkste Windows-Ausführungsnachweis.

Zurück zu allen Beiträgen