Qu'est-ce que le triage DFIR ? (glossaire)
Le triage DFIR est l'examen rapide en première passe d'un hôte suspecté compromis pour déterminer, en quelques minutes à quelques heures, si le système montre des preuves de compromission. Il utilise un petit ensemble d'artefacts à haut rendement collectés et parsés rapidement, par opposition à l'imagerie disque complète suivie d'une analyse approfondie.
La forme d'un bon triage :
- Collecter un ensemble fixe d'artefacts rapidement.
- Parser avec des outils établis produisant des CSV.
- Filtrer chaque artefact avec le filtre de triage canonique pour cet artefact (par ex. « PE non signé dans un chemin accessible en écriture par l'utilisateur » d'Amcache).
- Pivoter sur les hashes de tout ce qui est suspect contre VirusTotal et le threat intel interne.
- Borner dans le temps la fenêtre de l'incident avec les indicateurs suspects survivants.
Le triage de tout l'hôte prend minutes à heures, pas des jours.
L'ensemble d'artefacts de triage Windows standard#
| Artefact | Ce à quoi il répond |
|---|---|
| Amcache | Ce binaire PE était-il présent ? Avec quel hash et quand ? |
| Prefetch | Ce binaire PE s'est-il exécuté, et quand ? |
| Journal d'événements Security (4624 / 4625 / 4648 / 4688) | Qui s'est connecté, qui a échoué, avec quels identifiants ? Quels processus ont démarré, avec quelle ligne de commande ? |
| Sysmon (si déployé) | Télémétrie process / fichier / réseau / image-load en temps réel. |
| Ruche SYSTEM | ShimCache (binaires touchés par le loader), services. |
| NTUSER.DAT (par utilisateur) | UserAssist, RunMRU, RecentDocs. |
| Ruche SOFTWARE | Auto-runs, logiciels installés. |
| Historique de navigateur | Vecteur d'accès initial pour phishing / drive-by. |
| MFT récent | Créations de fichiers autour de la fenêtre d'incident. |
La cible composée !SANS_Triage de KAPE collecte cet ensemble en une
invocation. Windows.Forensics.Triage de Velociraptor fait la même chose
à distance.
Pourquoi Amcache est la pièce maîtresse du triage#
Trois propriétés font d'Amcache la première étape naturelle :
- Un fichier, toute la présence PE.
Amcache.hvecouvre chaque binaire PE que l'appraiser a vu — en un seul endroit. - Hashes pour VirusTotal. Recherches SHA-1 directes ; de nombreuses détections prennent quelques secondes.
- Survit à la suppression. Même si l'attaquant a effacé ses outils, Amcache contient les preuves.
Le filtre « PE non signé dans un chemin accessible en écriture par l'utilisateur » sur les entrées Unassociated produit une petite liste par hôte — typiquement moins de 50 lignes sur un poste infecté typique — et la plupart des lignes correspondent soit à un hash TI connu soit sont rapidement expliquées.
Pour le playbook de triage piloté par Amcache complet, voir Chasser le malware commodity avec Amcache.
Termes apparentés#
- Amcache.hve — la pièce maîtresse du triage.
- Prefetch — l'artefact de preuve d'exécution associé à Amcache.
- ShimCache — le cache loader noyau.
- SRUM — l'artefact d'utilisation de ressources sur longue fenêtre.
Articles liés
- Chasser les malwares grand public avec Amcache
Un playbook de triage Amcache-first pratique pour les malwares grand public sur les endpoints Windows — les filtres qui font ressortir le tooling attaquant, les pivots qui confirment l'exécution, et les requêtes cross-hôtes qui délimitent l'incident.
- Volatility et Amcache : extraire la ruche depuis des images mémoire
Un guide pratique pour récupérer Amcache depuis une image mémoire Windows en utilisant Volatility — quand la récupération côté mémoire est la seule option, quels plugins utiliser, et comment passer le relais à AmcacheParser.
- Plugin amcache de RegRipper : ce qu'il fait et quand l'utiliser
Un guide pratique sur le plugin amcache de RegRipper — ce qu'il analyse, comment sa sortie texte diffère du CSV d'AmcacheParser, et quand l'utiliser à la place (ou en complément) de l'outil Zimmerman.
- Qu'est-ce que SRUM (SRUDB.dat) ? (glossaire)
SRUM est le System Resource Usage Monitor Windows — une base de données ESE enregistrant l'utilisation CPU, réseau et E/S par application en buckets horaires sur 30-60 jours.