Qu'est-ce que le triage DFIR ? (glossaire)

Le triage, c'est la passe rapide. Vingt hôtes sont revenus d'un sweep et la question est lesquels reçoivent une investigation complète. Vous n'avez pas le temps d'imager et de timeliner les vingt. Vous collectez un petit ensemble fixe d'artefacts, vous le parsez, vous lancez deux ou trois filtres canoniques et vous produisez un oui/non par hôte avec assez de preuves pour défendre la décision.

C'est tout l'intérêt. Bien fait, ça prend des minutes par hôte. Mal fait, ça produit une fausse confiance dans un sens ou dans l'autre, et vous le découvrez trois semaines plus tard.

La forme d'un bon triage#

  1. Collecter un set fixe rapidement. KAPE !SANS_Triage, Velociraptor Windows.Forensics.Triage, ou votre équivalent maison.
  2. Parser avec des outils qui produisent du CSV. La suite d'Eric Zimmerman, principalement.
  3. Appliquer le filtre canonique pour chaque artefact. Pour Amcache, c'est "PE non signé dans un chemin inscriptible par l'utilisateur avec IsPeFile = True".
  4. Pivoter par hash tout ce qui survit au filtre. VirusTotal, feed TI interne, plateforme de threat intel.
  5. Borner dans le temps les survivants. Tirer une fenêtre d'activité autour de leur KeyLastWriteTimestamp.

Le kit Windows standard#

Artefact La question qu'il répond
Amcache Ce PE était-il présent, avec quel hash et quand ?
Prefetch A-t-il vraiment tourné, et quand ?
Journal Sécurité (EVTX) Qui s'est connecté, qui a échoué, quels processus ont démarré avec quelle ligne de commande ?
Sysmon Processus, fichier, réseau, chargement d'image en temps réel.
Ruche SYSTEM Shimcache, services, autostarts.
NTUSER.DAT UserAssist, RunMRU, RecentDocs, shellbags.
Ruche SOFTWARE Autoruns, logiciels installés.
Historique navigateur Vecteur d'accès initial pour phishing ou drive-by.
MFT / USN récents Créations système de fichiers autour de la fenêtre suspecte.

Pourquoi Amcache mérite sa place en tête#

Trois raisons. C'est un fichier. Il porte des hashes que vous pouvez soumettre directement à VirusTotal. Il survit à la suppression du binaire mieux que tout autre du set. Le filtre "PE non signé dans un chemin inscriptible par l'utilisateur" sur UnassociatedFileEntries.csv renvoie typiquement moins de 50 lignes sur une station infectée typique, et la plupart soit s'allument à un lookup TI, soit ont une explication bénigne évidente (applis portables, outils de dev).

Pour le playbook complet de triage piloté par Amcache, voir Chasser le malware commodity avec Amcache.

Termes liés#

Articles liés

  • Qu'est-ce que SRUM (SRUDB.dat) ? (glossaire)

    SRUM est la base ESE que Windows utilise pour suivre l'usage des ressources par application, par heure, sur 30 à 60 jours. Le seul artefact Windows avec des totaux d'octets réseau par application. Critique pour l'exfiltration.

  • Qu'est-ce que Shimcache (AppCompatCache) ? (glossaire)

    Shimcache est le cache du loader maintenu par le noyau dans la ruche SYSTEM. 1024 entrées, pas de hash, périmé jusqu'au redémarrage. Différent d'Amcache ; appariez-les.

  • Qu'est-ce que le ProgramId Amcache ? (glossaire)

    ProgramId est le hash d'identité d'application de 44 caractères qu'Amcache stocke. Stable entre hôtes pour la même installation. Attrape les recompilations et renommages que Hash rate.

  • Qu'est-ce que Windows Prefetch ? (glossaire)

    Windows Prefetch est le répertoire de fichiers .pf qui prouve l'exécution. Jusqu'à 8-10 temps d'exécution par binaire plus les fichiers chargés dans les dix premières secondes. La preuve d'exécution la plus forte sous Windows.

Retour à tous les articles