Was ist DFIR-Triage? (Glossar)
DFIR-Triage ist die schnelle Erstuntersuchung eines mutmaßlich kompromittierten Hosts, um innerhalb von Minuten bis wenigen Stunden festzustellen, ob das System Hinweise auf eine Kompromittierung zeigt. Sie verwendet einen kleinen Satz von hochergiebigen Artefakten, die schnell gesammelt und geparst werden, im Gegensatz zur Vollabbildung mit anschließender tiefer Analyse.
Die Form einer guten Triage:
- Sammeln Sie einen festen Artefakt-Satz schnell.
- Parsen Sie mit etablierten CSV-erzeugenden Tools.
- Filtern Sie jedes Artefakt mit dem kanonischen Triage- Filter für dieses Artefakt (z. B. Amcaches „unsignierte PE in benutzerbeschreibbarem Pfad").
- Hash-Pivoting alles Verdächtigen gegen VirusTotal und interne Threat Intel.
- Zeitlich eingrenzen des Vorfallsfensters mit den überlebenden verdächtigen Indikatoren.
Eine Host-weite Triage dauert Minuten bis Stunden, nicht Tage.
Der Standard-Windows-Triage-Artefakt-Satz#
| Artefakt | Was es beantwortet |
|---|---|
| Amcache | War dieses PE-Binärprogramm präsent? Mit welchem Hash und wann? |
| Prefetch | Wurde dieses PE-Binärprogramm ausgeführt, und wann? |
| Sicherheitsereignisprotokoll (4624 / 4625 / 4648 / 4688) | Wer hat sich angemeldet, wer ist gescheitert, mit welchen Anmeldedaten? Welche Prozesse wurden gestartet, mit welcher Kommandozeile? |
| Sysmon (falls bereitgestellt) | Echtzeit-Prozess-/Datei-/Netzwerk-/Image-Load-Telemetrie. |
| SYSTEM-Hive | ShimCache (vom Loader berührte Binärprogramme), Dienste. |
| NTUSER.DAT (pro Benutzer) | UserAssist, RunMRU, RecentDocs. |
| SOFTWARE-Hive | Autoruns, installierte Software. |
| Browser-Verlauf | Erst-Zugangsvektor für Phishing / Drive-by. |
| Jüngste MFT | Dateisystem-Erstellungen rund um das Vorfallsfenster. |
KAPEs !SANS_Triage-Compound-Target sammelt diesen Satz in einem
Aufruf. Velociraptors Windows.Forensics.Triage macht dasselbe
remote.
Warum Amcache das Triage-Arbeitstier ist#
Drei Eigenschaften machen Amcache zur natürlichen ersten Anlaufstelle:
- Eine Datei, alle PE-Präsenz.
Amcache.hvedeckt jedes PE-Binärprogramm ab, das der Appraiser gesehen hat — an einem Ort. - Hashes für VirusTotal. Direkte SHA-1-Lookups; viele Detektionen dauern Sekunden.
- Überlebt Löschung. Selbst wenn der Angreifer seine Tools gelöscht hat, hält Amcache die Beweise.
Der Filter „unsignierte PE in benutzerbeschreibbarem Pfad" auf die Unassociated-Einträge produziert eine kleine Liste pro Host — typischerweise unter 50 Zeilen auf einer typischen infizierten Workstation — und die meisten Zeilen stimmen entweder mit einem bekannten TI-Hash überein oder lassen sich schnell erklären.
Für das vollständige Amcache-getriebene Triage-Playbook siehe Commodity-Malware mit Amcache jagen.
Verwandte Begriffe#
- Amcache.hve — das Triage- Arbeitstier.
- Prefetch — das mit Amcache gepaarte Ausführungsbeweis-Artefakt.
- ShimCache — der Kernel-Loader- Cache.
- SRUM — das Ressourcennutzungs-Artefakt für lange Zeiträume.
Verwandte Beiträge
- Handelsübliche Malware mit Amcache jagen
Ein praktisches Amcache-First-Triage-Playbook für handelsübliche Malware auf Windows-Endpoints — die Filter, die Angreifer-Tooling zutage fördern, die Pivots, die die Ausführung bestätigen, und die hostübergreifenden Abfragen, die den Incident scopen.
- Volatility und Amcache: die Hive aus Speicherabbildern extrahieren
Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.
- RegRipper amcache-Plugin: was es tut und wann man es verwendet
Ein praktischer Leitfaden zum amcache-Plugin von RegRipper — was es parst, wie sich seine Text-Ausgabe von AmcacheParsers CSV unterscheidet und wann man darauf zurückgreift statt (oder zusätzlich zum) Zimmerman-Tool.
- Was ist SRUM (SRUDB.dat)? (Glossar)
SRUM ist der Windows System Resource Usage Monitor — eine ESE-Datenbank, die pro Anwendung CPU-, Netzwerk- und I/O-Nutzung in Stunden-Buckets über 30-60 Tage aufzeichnet.