Comment un attaquant nettoierait-il Amcache ?

Trois approches courantes : supprimer purement et simplement Amcache.hve et ses journaux de transactions (bruyant, recréé par la passe d'appraiser suivante) ; éditer sélectivement des sous-clés InventoryApplicationFile individuelles (subtil, nécessite un accès équivalent à Registry Editor pendant que la ruche est chargée) ; ou désactiver la tâche planifiée Compatibility Appraiser pour figer la ruche (discret, mais l'absence de nouvelles entrées est en soi un indice).

Comment détecter une falsification d'Amcache ?

Énumérez les Volume Shadow Copies avec 'vssadmin list shadows' ou vshadowmount, parsez l'Amcache.hve de chaque shadow copy et différenciez les entrées par rapport à la ruche live. Les entrées présentes dans les shadows mais manquantes de la live sont la preuve d'un nettoyage délibéré. Vérifiez aussi le LastRunTime de la tâche planifiée et la distribution KeyLastWriteTimestamp de la ruche.

Les attaquants nettoient-ils typiquement Amcache ?

Rarement. La plupart des malwares commodity et même la plupart des kits d'outils APT ne prennent pas la peine de nettoyer Amcache — ce n'est pas un artefact bien connu parmi les auteurs de malware généraux, et le nettoyage nécessite une connaissance spécifique des internals Windows. Lorsque vous voyez des signes de falsification d'Amcache, traitez-le comme un signal fort d'un acteur plus sophistiqué.

Quelle est l'attaque la plus subtile contre Amcache ?

Désactiver le Compatibility Appraiser via la stratégie de groupe (AllowTelemetry=0) ou la désactivation de la tâche. La ruche n'est pas supprimée — elle arrête simplement de se mettre à jour. Un défenseur qui ne vérifie pas spécifiquement la dernière heure d'exécution de l'appraiser peut entièrement manquer cela.

Les preuves Amcache peuvent-elles être définitivement détruites ?

Pas de manière fiable. Même après une édition de ruche live, les Volume Shadow Copies préservent souvent l'historique. Même après suppression VSS, la récupération forensique de fichiers et le wear-levelling SSD peuvent récupérer les versions antérieures. Et les journaux d'événements hérités DfsTrace / SetupAct / Microsoft-Windows-Application-Experience préservent parfois l'activité de l'appraiser indépendamment.

Amcache.hve peut-il être effacé ou modifié par un attaquant ?

Oui, un attaquant avec des droits administratifs peut supprimer Amcache.hve, éditer des entrées spécifiques à l'intérieur, ou désactiver la tâche planifiée Compatibility Appraiser qui le maintient. Cependant, le nettoyage est détectable via trois mécanismes : les Volume Shadow Copies préservent typiquement des instantanés récents de la ruche originale, les journaux de transactions de registre peuvent préserver les écritures récentes, et une ruche fraîchement recréée après suppression a une distribution 'KeyLastWriteTimestamp' qui commence brutalement à l'heure de recréation au lieu de remonter sur des mois. En combinant ces trois sources, la falsification anti-forensique d'Amcache est l'un des comportements d'attaquant les plus fiablement détectés sur Windows.

Amcache peut-il être effacé par des attaquants ?

Oui — mais le nettoyage est détectable. Un attaquant avec des droits administratifs peut supprimer Amcache.hve, éditer des entrées spécifiques à l'intérieur, ou désactiver la tâche planifiée Compatibility Appraiser. Aucune de ces options n'est silencieuse. Trois sources forensiques indépendantes préservent généralement l'état antérieur :

Volume Shadow Copies — instantanés ponctuels du volume pris par VSS, typiquement conservés pendant une à plusieurs semaines. Chaque shadow a sa propre copie d'Amcache.hve.
Journaux de transactions de registre — Amcache.hve.LOG1 et Amcache.hve.LOG2 peuvent préserver les écritures récentes qu'un attaquant n'a pas pensé à supprimer.
Signature d'heure de recréation — une ruche fraîchement recréée après suppression a une distribution KeyLastWriteTimestamp qui commence brutalement à l'heure de recréation, sans entrées remontant à des mois comme on s'y attendrait sur un hôte de longue durée.

Comment les attaquants tentent typiquement#

Trois approches, par subtilité croissante :

1. Supprimer la ruche et ses logs#

# (Action d'attaquant — pas à exécuter par les défenseurs)
Remove-Item 'C:\Windows\AppCompat\Programs\Amcache.hve*' -Force

Bruyant. La passe d'appraiser suivante recrée la ruche — vide sauf pour ce qui se trouve être en cours d'exécution maintenant. La signature de recréation est évidente pour tout défenseur qui sait où regarder.

2. Éditer des entrées spécifiques#

L'attaquant charge la ruche (par ex. comme sous-arborescence de HKLM) et supprime des sous-clés InventoryApplicationFile spécifiques correspondant à son outillage.

Plus subtil, mais les journaux de transactions de registre peuvent encore contenir les écritures originales, et les Volume Shadow Copies contiennent la ruche d'avant la falsification.

3. Désactiver l'appraiser#

HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection
  AllowTelemetry = REG_DWORD 0

Ou désactiver la tâche planifiée à \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser.

La ruche n'est pas modifiée — elle arrête simplement de se mettre à jour. Un défenseur qui ne vérifie pas le LastRunTime de l'appraiser peut ne pas le remarquer.

Comment détecter la falsification#

Le workflow du défenseur :

Parsez l'Amcache.hve live et capturez la distribution KeyLastWriteTimestamp (la plus ancienne, la plus récente, densité par semaine).
Énumérez les Volume Shadow Copies et parsez la copie de la ruche de chaque shadow. Différenciez par rapport à la ruche live.
Vérifiez la tâche planifiée — LastRunTime, State, historique.
Vérifiez la GPO — AllowTelemetry, valeurs DataCollection associées.

Une ruche live avec un KeyLastWriteTimestamp qui s'arrête brutalement il y a quelques semaines, sur un hôte dont vous savez qu'il a fonctionné et vu de nouveaux logiciels, est suspecte. Différenciez par rapport aux shadows pour confirmer ce qui manque.

Pour le workflow anti-forensique complet, voir Récupérer les preuves de binaires supprimés depuis Amcache.

À quel point est-ce courant ?#

Rare. Les malwares commodity et la plupart des kits d'outils APT ne prennent pas la peine de nettoyer Amcache. L'artefact n'est pas largement connu parmi les auteurs de malware généraux, et un nettoyage efficace nécessite une connaissance des internals Windows que la plupart des acteurs n'ont pas.

Lorsque vous voyez des signes de falsification d'Amcache, traitez-le comme un signal fort d'un acteur plus sophistiqué — et portez une attention supplémentaire aux artefacts voisins (ShimCache, Sysmon, télémétrie EDR) pour une falsification similaire.