AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600)...
Transcript of AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600)...
![Page 1: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/1.jpg)
AmCache Investigation
CoRI&IN 2019
![Page 3: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/3.jpg)
D’où vient l’AmCache ?
> AmCache = Artefact d’exécution de binaires “shimés” et d’installation de programmes à partir de Windows 7 et Server 2008 R2
> Application Experience and Compatibility▪ Solutions techniques permettant d’assurer la compatibilité des
applications sur différents systèmes
> Infrastructure de Shim (Infrastructure de Compatibilitéd’Application) :▪ “The Shim Infrastructure implements a form of application
programming interface (API) hooking. Specifically, it leverages the nature of linking to redirect API calls from Windows itself to alternative code—the shim itself.” - docs.microsoft.com
3
![Page 4: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/4.jpg)
Sait-on bien exploiter l’AmCache aujourd’hui ?
> Outils existants pour parser…
▪ AmCacheParser, plugin RegRipper
> Mais artefact peu documenté et difficilement interprétable :
▪ Vérification des affirmations
▪ Analyse approfondie des mécanismes et résultats
> Rapport technique pour disposer d’une référence
➔ https://www.ssi.gouv.fr/agence/publication/
4
![Page 5: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/5.jpg)
Plan
> Fonctionnement
> Scénario 1 : « À la rencontre de l’AmCache »
> Scénario 2 : « Blanche-Neige et le Chasseur »
> Scénario 3 : « Y a-t-il un pilote dans l’avion ? »
5
![Page 6: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/6.jpg)
Fonctionnement : Disclaimer
> Plusieurs modes de fonctionnement de l’AmCache
> Dépend des versions de bibliothèques (ae*.dll)
▪ 1 version par mise à jour majeure d’OS
▪ Backport jusqu’à Windows 7
> Détails selon les versions de Windows avec les bibliothèques
originelles
6
![Page 7: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/7.jpg)
Fonctionnement AmCache
> Mise à jour de l’artefact en deux temps :
▪ Exécution du PE
▪ Exécution d’une tâche planifiée : Microsoft\Application
Experience\ProgramDataUpdater
7
![Page 8: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/8.jpg)
Windows 7* : Exécution PE
> Exécution du PE :
▪ RecentFileCache.bcf
8
*version des DLLs : 6.1.7600
![Page 9: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/9.jpg)
Windows 7*
> Exécution du PE :
▪ C:\Windows\AppCompat\Programs\RecentFileCache.bcf
9
*version des DLLs : 6.1.7600
![Page 10: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/10.jpg)
Windows 7* : Tâche planifiée
10
*version des DLLs : 6.1.7600
![Page 11: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/11.jpg)
Windows 7* : Tâche planifiée
11
*version des DLLs : 6.1.7600
![Page 12: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/12.jpg)
Windows 7*
> Exécution du PE :
▪ C:\Windows\AppCompat\Programs\RecentFileCache.bcf
> Tâche planifiée : ProgramDataUpdater (00h30 tous les jours)
▪ Vide RecentFileCache.bcf
▪ C:\Windows\AppCompat\Programs\AEINV_WER_{GUID}_YYYY
MMDD_hhmm.xml
12
*version des DLLs : 6.1.7600
![Page 13: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/13.jpg)
Windows 8* : Exécution PE
13
*version des DLLs : 6.2.9200
![Page 14: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/14.jpg)
Windows 8*
> Exécution du PE :
▪ C:\Windows\AppCompat\Programs\AmCache.hve
14
*version des DLLs : 6.2.9200
![Page 15: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/15.jpg)
Windows 8* : Tâche planifiée
15
*version des DLLs : 6.2.9200
![Page 16: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/16.jpg)
Windows 8* : Tâche planifiée
> Exécution du PE :
▪ C:\Windows\AppCompat\Programs\AmCache.hve
> Tâche planifiée : ProgramDataUpdater (~3:00 tous les 3 jours)
▪ Met à jour AmCache.hve
▪ C:\Windows\AppCompat\Programs\AEINV_AMI_WER
_{GUID}_YYYYMMDD_hhmm.xml
▪ C:\Windows\AppCompat\Programs\DevInvCache\PropCache.bin
(si PE = pilote)
16
*version des DLLs : 6.2.9200
![Page 17: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/17.jpg)
Windows 10*
> Exécution du PE :
▪ C:\Windows\AppCompat\Programs\AmCache.hve
> Tâche planifiée : ProgramDataUpdater (~3:00 tous les 3 jours)
▪ Ne semble pas écrire ou mettre à jour de nouveaux fichiers
17
*version des DLLs : 10.0.14913
![Page 18: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/18.jpg)
Résumé traces trouvées par OS (version DLL)
18
Windows 7(6.1.7600)
Windows 8(6.2.9200)
Windows 10(10.0.14913)
RecentFile
Cache.bcf
AEINV_WER
.xml
AmCache
.hve
AEINV_AMI
.xml
PropCache
.bin
AmCache
.hve
Nom du
fichier
Chemin du
fichier
SHA-1
Programme
Suivi
Répertoire
installation
Pilote
Chemin du
pilote
![Page 19: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/19.jpg)
Plan
> Fonctionnement
> Scénario 1 : « À la rencontre de l’AmCache »
> Scénario 2 : « Blanche-Neige et le Chasseur »
> Scénario 3 : « Y a-t-il un pilote dans l’avion ? »
19
![Page 20: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/20.jpg)
À la rencontre de l’AmCache : Attaquant
> L’attaquant compromet un compte utilisateur « Lambda » sur
une machine Windows 8
> L’attaquant se connecte sur le compte Lambda
> L’attaquant exécute C:\Users\Lambda\malware.exe
> L’attaquant supprime le fichier
20
![Page 21: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/21.jpg)
À la rencontre de l’AmCache : Analyste
> Comportement suspect identifié sur une machine Windows 8
> Plusieurs artefacts indiquent l’exécution de
« C:\Users\Lambda\malware.exe »
> Problème : malware.exe n’est plus sur le disque
21
![Page 22: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/22.jpg)
À la rencontre de l’AmCache : Analyste
22
![Page 23: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/23.jpg)
À la rencontre de l’AmCache : Ouverture
> Analyse d’AmCache.hve : SHA-1 de malware.exe
> Recherche en source ouverte
> Ajout du hash dans les marqueurs
23
![Page 24: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/24.jpg)
Résumé traces trouvées par OS (version DLL)
24
Windows 7(6.1.7600)
Windows 8(6.2.9200)
Windows 10(10.0.14913)
RecentFile
Cache.bcf
AEINV_WER
.xml
AmCache
.hve
AEINV_AMI
.xml
PropCache
.bin
AmCache
.hve
Nom du
fichier
X X
Chemin du
fichier
X X
SHA-1 X X
Programme
Suivi
Répertoire
installation
Pilote
Chemin du
pilote
![Page 25: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/25.jpg)
À la rencontre de l’AmCache 2 : Windows 7
RecentFileCache.bcf
25
![Page 26: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/26.jpg)
À la rencontre de l’AmCache 2 : Analyste
> Limitations de RecentFileCache.bcf :
▪ Uniquement le chemin du fichier
▪ Contenu de RecentFileCache.bcf vidé tous les jours à 00h30 par
Microsoft\Windows\Application Experience\ProgramDataUpdater
▪ Tous les exécutables ne sont pas enregistrés dans RecentFileCache.bcf :
▫ Exécutions depuis un média externe ou un partage réseau non enregistrées
▫ Exceptions dans C:\Users (liste empiriques et non exhaustive) :
- C:\Users\<username>\Downloads
- C:\Users\<username>\Documents
- Date de modification du binaire > 12h
26
![Page 27: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/27.jpg)
À la rencontre de l’AmCache 2 : Tâche planifiée
AEINV_WER_{82AB173F-3F7A-4EB5-A8FA-DA9C4E839ADC}_20181227_142615.xml
27
![Page 28: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/28.jpg)
À la rencontre de l’AmCache 2 : Tâche planifiée
AEINV_WER_{82AB173F-3F7A-4EB5-A8FA-DA9C4E839ADC}_20181227_142615.xml
28
![Page 29: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/29.jpg)
Résumé traces trouvées par OS (version DLL)
29
Windows 7(6.1.7600)
Windows 8(6.2.9200)
Windows 10(10.0.14913)
RecentFile
Cache.bcf
AEINV_WER
.xml
AmCache
.hve
AEINV_AMI
.xml
PropCache
.bin
AmCache
.hve
Nom du
fichier
X X X X X
Chemin du
fichier
X X X
SHA-1 X X X X
Programme
Suivi
Répertoire
installation
Pilote
Chemin du
pilote
![Page 30: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/30.jpg)
Plan
> Fonctionnement
> Scénario 1 : « À la rencontre de l’AmCache »
> Scénario 2 : « Blanche-Neige et le Chasseur »
> Scénario 3 : « Y a-t-il un pilote dans l’avion ? »
30
![Page 31: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/31.jpg)
Blanche-Neige et le Chasseur : Attaquant
> L’attaquant compromet un compte utilisateur « Lambda » sur
une machine Windows 7
> L’attaquant se connecte sur le compte Lambda
> Il cache un logiciel malveillant « hidden-malware.exe » dans
C:\Program Files\7-Zip\
31
![Page 32: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/32.jpg)
Blanche-Neige et le Chasseur : Analyste
> Recherche de compromission sur un poste Windows 7
> Pas de piste spécifique
32
![Page 33: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/33.jpg)
Blanche-Neige et le Chasseur : Analyste
AEINV_WER_{82AB173F-3F7A-4EB5-A8FA-DA9C4E839ADC}_20181227_142615.xml
33
![Page 34: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/34.jpg)
Aparté Fonctionnement
> Dans l’AEINV, programme défini par des indicateurs :
▪ RegistryIndicators ;
▪ AddRemoveProgramIndicators ;
▪ ShellIndicators ;
▪ MsiIndicators ;
▪ FileExtIndicators ;
▪ DirectoryIndicators.
> Modification d’un indicateur ➔ Entrée dans Updated
34
![Page 35: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/35.jpg)
Blanche-Neige et le Chasseur : Analyste
AEINV_WER_{82AB173F-3F7A-4EB5-A8FA-DA9C4E839ADC}_20181227_142615.xml
35
![Page 36: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/36.jpg)
Blanche-Neige et le Chasseur : Analyste
AEINV_WER_{82AB173F-3F7A-4EB5-A8FA-DA9C4E839ADC}_20181227_142615.xml
36
![Page 37: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/37.jpg)
Résumé traces trouvées par OS (version DLL)
37
Windows 7(6.1.7600)
Windows 8(6.2.9200)
Windows 10(10.0.14913)
RecentFile
Cache.bcf
AEINV_WER
.xml
AmCache
.hve
AEINV_AMI
.xml
PropCache
.bin
AmCache
.hve
Nom du
fichier
X X X X X
Chemin du
fichier
X X X X
SHA-1 X X X X
Programme X X X X
Suivi
Répertoire
installation
X
Pilote
Chemin du
pilote
![Page 38: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/38.jpg)
Plan
> Fonctionnement
> Scénario 1 : « À la rencontre de l’AmCache »
> Scénario 2 : « Blanche-Neige et le Chasseur »
> Scénario 3 : « Y a-t-il un pilote dans l’avion ? »
38
![Page 39: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/39.jpg)
Y a-t-il un pilote dans l’avion ? : Attaquant
> L’attaquant compromet une machine Windows 10
> Il charge un pilote légitime mais vulnérable « vboxdrv.sys » afin
d’avoir une backdoor pour élever ses privilèges
39
![Page 40: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/40.jpg)
Y a-t-il un pilote dans l’avion ? : Analyste
> Comportement suspect identifié sur une machine Windows 10
> Remédiation immédiate effectuée par l’analyste
> Est-ce que l’attaquant a laissé des backdoors ?
40
![Page 41: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/41.jpg)
Y a-t-il un pilote dans l’avion ? : Analyse
41
![Page 42: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/42.jpg)
Résumé traces trouvées par OS (version DLL)
42
Windows 7(6.1.7600)
Windows 8(6.2.9200)
Windows 10(10.0.14913)
RecentFile
Cache.bcf
AEINV_WER
.xml
AmCache
.hve
AEINV_AMI
.xml
PropCache
.bin
AmCache
.hve
Nom du
fichier
X X X X X
Chemin du
fichier
X X X X
SHA-1 X X X X
Programme X X X X
Suivi
Répertoire
installation
X
Pilote X
Chemin du
pilote
X
![Page 43: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/43.jpg)
Y a-t-il un pilote dans l’avion ? 2 : Windows 8
> AmCache.hve ne contient pas les pilotes
> Tâche planifiée ProgramDataUpdater existe toujours…
43
![Page 44: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/44.jpg)
Y a-t-il un pilote dans l’avion ? 2 : Analyste
AEIN_AMI_WER[…].xml
44
![Page 45: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/45.jpg)
Y a-t-il un pilote dans l’avion ? 2 : Analyste
AEIN_AMI_WER[…].xml
45
![Page 46: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/46.jpg)
Y a-t-il un pilote dans l’avion ? 2 : Analyste
PropCache.bin
46
![Page 47: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/47.jpg)
Résumé traces trouvées par OS (version DLL)
47
Windows 7(6.1.7600)
Windows 8(6.2.9200)
Windows 10(10.0.14913)
RecentFile
Cache.bcf
AEINV_WER
.xml
AmCache
.hve
AEINV_AMI
.xml
PropCache
.bin
AmCache
.hve
Nom du
fichier
X X X X X
Chemin du
fichier
X X X X
SHA-1 X X X X
Programme X X X X
Suivi
Répertoire
installation
X
Pilote X X X
Chemin du
pilote
X X
![Page 48: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/48.jpg)
Conclusion
> Artefact complexe :
▪ Attention à la version des DLLs et pas de l’OS !
▪ Penser à récupérer tous les fichiers !
> Attention aux conclusions tirées :
▪ Sur l’exécution du PE,
▪ Sur la date d’exécution,
▪ Sur l’absence d’un PE dans l’artefact.
> Mais artefact précieux dans une investigation
> Rapport technique de référence pour aider l’analyste :
➔ https://www.ssi.gouv.fr/agence/publication/
48
![Page 49: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/49.jpg)
Questions ?
49
![Page 50: AmCache Investigation · 28. Résumé traces trouvées par OS (version DLL) 29 Windows 7 (6.1.7600) Windows 8 (6.2.9200) Windows 10 (10.0.14913) RecentFile Cache.bcf AEINV_WER.xml](https://reader035.fdocuments.us/reader035/viewer/2022071004/5fc10b415331cd77cc2993a6/html5/thumbnails/50.jpg)
Date d’exécution ? – Exemple sous Windows 8
> Si le PE fait partie d’un programme :▪ Si le PE a besoin d’être shimmé et a été exécuté avant ProgramDataUpdater
➔ Date de dernière écriture semble être la date d’exécution du PE
▪ Sinon si ProgramDataUpdater a été lancée depuis l’installation du programme➔ Date de dernière écriture semble être la date de lancement de ProgramDataUpdater
▪ Sinon➔ Date de dernière écriture semble être la date d’installation du programme
> Sinon, si le PE est “l’installeur” d’un programme :▪ Si ProgramDataUpdater a été lancée depuis l’installation du programme
➔ Date de dernière écriture semble être la date de lancement de ProgramDataUpdater
▪ Sinon➔ Date de dernière écriture semble être la date d’exécution du PE
> Sinon :▪ Si le PE est “interne”
➔ Date de dernière écriture semble être la date d’exécution du PE
▪ Sinon, si ProgramDataUpdater a été lancée depuis l’exécution du PE➔ Date de dernière écriture semble être la date de lancement de ProgramDataUpdater
▪ Sinon➔ Date de dernière écriture semble être la date d’exécution du PE
50