Windows appcompat programs amcache hve

Если вы занимаетесь информационной безопасность, то наверняка знакомы с площадками для оттачивания хакерского мастерства, такими как Hack The Box, а для специалистов компьютерной криминалистики существует плат­форма CyberDefenders. В сегодняшней статье продолжим обучение компьютерной криминалистике, где я познакомлю вас с интересным форензик кейсом взлома Windows. В этом нам поможет лабора­тор­ная работа с ресур­са — CyberCorp Case 1.

Еще по теме: Форензик кейс взлома серверов Linux

На примере CyberCorp Case 1, я покажу, как вытащить информацию из арте­фак­тов Windows. Попробуем понять, как хакер взломал компь­ютер в сети орга­низа­ции, какой использовал вредонос и как закрепился в операционной системе.

Расследование взлома компьютера Windows

По сце­нарию форензик кей­са в исхо­дящем тра­фике сети ком­пании CyberCorp был выяв­лен ряд ано­малий, что говорит о взломе. Спе­циалис­ты ИБ изо­лиро­вали скомпрометированный хост от сети и соб­рали важные арте­фак­ты Windows. Арте­фак­ты лежат в архи­ве, который необходимо скачать.

По резуль­татам решения кей­са нас поп­росят отве­тить на ряд воп­росов. Я покажу лишь ход решения и не буду под­све­чивать отве­ты. Ради тре­ниров­ки можете пов­торить весь про­цесс самос­тоятель­но и отве­тить — для зак­репле­ния матери­ала.

Полученные артефакты Windows

Amcache.hve — файл реес­тра, содер­жит информа­цию о запус­каемых при­ложе­ниях. Расположение файла
Amcache:

AppCompatCache.reg — информа­ция из клю­ча кус­та реес­тра SYSTEM (
C:\Windows\System32\configSystem):

В этом клю­че содержится арте­факт
Shimcache — эта функция обес­печива­ет сов­мести­мость ста­рых при­ложе­ний с более новыми вер­сиями ОС. В нем хранится информация: путь к фай­лу, вре­мя пос­ледне­го изме­нения и раз­мер исполняемого фай­ла.

Фай­лы реес­тра: default, SAM, SECURITY, software, system. Рас­положе­ние файлов:

Logs — логи ОС. Расположение файлов:

User Registry Hives — файл NTUSER.DAT содер­жит информа­цию, свя­зан­ную с дей­стви­ем поль­зовате­ля. Фай­лы NTUSER.DAT хра­нят­ся в катало­ге:

Windows Prefetch — фай­л оптимизации запус­ка при­ложе­ний. Фай­лы Prefetch могут содержать важную информацию, такую как: имя исполня­емо­го фай­ла, спи­сок динами­чес­ких биб­лиотек, исполь­зуемых исполня­емым фай­лом, количес­тво запус­ков исполня­емо­го фай­ла и временную мет­ку, которая указывает, ког­да приложение было запуще­но в пос­ледний раз. Расположение файлов:

MFT (глав­ная таб­лица фай­лов) — сис­темный файл ОС, содер­жит метадан­ные объ­екта фай­ловой сис­темы. MFT находится в кор­не раз­делов NTFS, выг­рузить его мож­но инструментом FTK Imager.

OBJECTS.DATA — файл содер­жит пос­тоян­ные клас­сы WMI (Windows Management Instrumentation). Расположение файла:

Memdump — файл обра­за RAM.

Се­тевой тра­фик, получен­ный в резуль­тате монито­рин­га сети организации.

Этапы расследования

• По­иск точ­ки вхо­да в сис­тему.
• По­иск спо­соба зак­репле­ния.
• По­иск методов боково­го переме­щения по сети.

Используемые утилиты

• UserAssist.
• Wireshark
• Olevba.
• Volatility 3.
• fulleventlogview, winprefetchview.
• AmcacheParser, Registry Explorer, AppCompatCacheParser, MFTECmd.

Пе­ред началом изучения арте­фак­тов взломанного компь­юте­ра, надо узнать версию ОС, имя пользователя и дату уста­нов­ки. Для это­го заг­ружаем куст реес­тра software в программу Registry Explorer и переходим к клю­чу:

На ском­про­мети­рован­ном компь­юте­ре стоит Windows 10 Enterprise Evaluation, дата уста­нов­ки — 17.06.2020 (параметр
InstallDate), вер­сия сбор­ки ОС — 17134, вла­делец —
John Goldberg.

Переходим к анализу образа опе­ратив­ной памяти, сетевого тра­фика и глав­ную таб­лицу раз­делов.

Анализ образа оперативной памяти

Начнем с поиска активных сетевых соеди­нении и вре­донос­ного про­цесса. Это можно сделать с помощью инструмента Volatility 3 (см. также Анализ дампа памяти с помощью Volatility).

Отметим все сетевые соеди­нения с сос­тоянием ESTABLISHED и про­бьем все IP-адре­са на ВирусТотал.

Про­цесс
rundll32.exe (PID 4224) уста­новил подозрительное сетевое соеди­нение с управля­ющим сер­вером по IP-адре­су
196.6.112.70. Пробьем IP на VirusTotal.

Просмотрим дерево про­цес­сов и отыщем про­цесс с PID 4224.

Ро­дитель­ский PID вре­донос­ного про­цес­са:

Но про­цес­са с таким нет.

С помощью плагина malfind из комплекта Volatility 3 находим код, внед­ренный в адресное прос­транс­тво про­цес­сов ОС.

Из скрина выше можно увидеть, что вре­донос­ный код внед­рен в адресное прос­транс­тво про­цес­са
winlogon.exe (PID 3232).

Хороший результат! Мы выявили вре­донос­ный про­цесс и управля­ющий центр.

Анализ сетевого трафика

Для анализа сетевого трафика воспользуемся сниффером Wireshark и попробуем найтио важные арте­фак­ты. В пер­вом дам­пе тра­фика находим поч­товую сес­сию по про­токо­лу SMTP. Получим сооб­щения eml. Для это­го перейдем на вклад­ку «Файл —> Экспор­тировать объ­екты —> IMF». Сох­раним все сооб­щения для будущего анализа.

В сооб­щении от
richard.gorn@gmail.com находится зашифрованный архив
attach.zip. Попробуем открыть запароленый архив.

Как видите на скрине выше, пароль оказался в самом сообщении.

Анализ вредоносных файлов

В архи­ве лежит документ:

Меня­ем рас­ширение на
.zip и смот­рим его содер­жимое. Вре­донос­ных мак­росов здесь нет, но обна­ружи­лась ссыл­ка на заг­рузку шаб­лона
Supplement.dotm в фай­ле:

Такой век­тор ата­ки называ­ется Remote Template Injection и под­робно опи­сан в бло­ге Сун­гва­на Цоя.

Ос­новной прин­цип ата­ки зак­люча­ется в сле­дующем. Зло­умыш­ленни­ки залили на свой сер­вер файл шаб­лона докумен­та Word (.dotm) и внед­рили в код докумен­та
Why Saudi Arabia... .docx ссыл­ку на заг­рузку вре­донос­ного шаб­лона. Если документ открыть, заг­рузит­ся шаб­лон, содер­жащий мак­рос.

Поп­робу­ем получить этот документ из обра­за опе­ратив­ной памяти. Для это­го вос­поль­зуем­ся пла­гином FileScan ути­литы Volatility 3.

Выг­рузим документ, рас­положен­ный по адре­су
0xcd8401aea3f0. Для это­го вос­поль­зуем­ся пла­гином dumpfiles ути­литы Volatility 3.

Мы получи­ли вре­донос­ный шаб­лон Microsoft Office c длин­ным наз­вани­ем и рас­ширени­ем
.dotm.dat. Про­ана­лизи­руем шаб­лон c помощью ути­литы olevba. Пере­име­нуем его в
dotm_malicious.

В резуль­тате работы olevba мы получи­ли скрипт на VBA, содер­жащий­ся в шаб­лоне докумен­та. Иссле­дуем код скрип­та.

Вре­донос­ный скрипт заг­ружа­ет полез­ную наг­рузку
master_page и сох­раня­ет ее в сле­дующем клю­че реес­тра:

Да­лее он заг­ружа­ет PowerShell-скрипт wrapper_page и сох­раня­ет в каталог

Сле­дующим эта­пом про­исхо­дит зак­репле­ние в сис­теме с исполь­зовани­ем WMI, но об этом мы погово­рим чуть поз­же.

Выг­рузим скрипт на PowerShell, что­бы изу­чить его со­дер­жимое.

Скрипт берет полез­ную наг­рузку из клю­ча реес­тра (перемен­ная
$rk), декоди­рует ее из Base64, а далее выпол­няет­ся спу­финг родитель­ско­го про­цес­са
dwm.exe. Вре­донос­ная наг­рузка заг­ружа­ется в память соз­данно­го про­цес­са и миг­риру­ет в про­цесс
winlogon.exe.

Выг­рузим вре­донос­ную наг­рузку. Заг­рузим куст
NTUSER.DAT поль­зовате­ля
john.goldberg в ути­литу Reg Explorer. Перей­дем в
Software\RegisteredApplications и най­дем ключ:

Де­коди­руем полез­ную наг­рузку, получим MD5-сум­му и про­верим ее на VirusTotal.

Анализ MFT

Раз­берем, в какое вре­мя поль­зователь открыл вре­донос­ный документ
Why Saudi Arabia... .docx в сис­теме, что­бы понимать, ког­да про­изо­шел инци­дент. Для это­го про­ана­лизи­руем файл MFT. Вос­поль­зуем­ся инс­тру­мен­том
MFTECmd.exe и выг­рузим информа­цию об объ­ектах фай­ловой сис­темы в файл CSV.

Мы получи­ли файл, содер­жащий пути ко всем фай­лам фай­ловой сис­темы, а так­же мет­ки вре­мени. Через поиск най­дем информа­цию о докумен­те:

Все мет­ки вре­мени в таб­лице MFT в UTC, но мос­ков­ское вре­мя — UTC+3.

Итак, по резуль­татам пер­вого эта­па мы обна­ружи­ли, что поль­зователь
john.goldberg получил по элек­трон­ной поч­те сооб­щение, содер­жащее вре­донос­ное вло­жение. 20.06.2020 в 22:27:31 (по мос­ков­ско­му вре­мени) поль­зователь открыл документ
Why Saudi Arabia... .docx, который заг­рузил шаб­лон содер­жащий мак­рос с:

Вре­донос­ный мак­рос заг­рузил полез­ную наг­рузку и PowerShell-скрипт.

Закрепление в скомпрометированной системе

На этом эта­пе про­ана­лизи­руем файл
OBJECTS.DATA, но сна­чала нем­ного погово­рим о сох­ранении пос­тоянс­тва в сис­теме с помощью WMI.

WMI (Windows Management Instrumentation) — набор инс­тру­мен­тов, пред­назна­чен­ных для управле­ния сис­темами Windows как локаль­но, так и уда­лен­но. Одна из тех­ник зак­репле­ния в сис­теме через WMI — это WMI Subscriptions (под­писки WMI). Эта тех­ника запус­кает дей­ствие при воз­никно­вении события.

Дей­ствия и события могут быть опре­деле­ны поль­зовате­лем. В опре­деле­ниях WMI дей­ствия называ­ются пот­ребите­лями (Consumers), а события — филь­тра­ми (Filters). Сущес­тву­ет так­же тре­тий ком­понент, который свя­зыва­ет их вмес­те, — при­вяз­ка (
__FilterToConsumerBinding).

Зна­чит, наша задача — обна­ружить в фай­ле
OBJECTS.DATA связ­ку дей­ствия и события (
__FilterToConsumerBinding). Мож­но открыть иссле­дуемый файл с помощью hex-редак­тора и в поис­ке вбить стро­ку
__FilterToConsumerBinding, но мы вос­поль­зуем­ся ути­литой PyWMIPersistenceFinder.

Мы обна­ружи­ли наз­вание события
LogRotate Event и наз­вание дей­ствия
Logrotate Consumer.

При воз­никно­вении события авто­риза­ции поль­зовате­ля в сис­теме запус­кает­ся дей­ствие — запуск вре­донос­ного скрип­та
tmpA7Z2.ps1. Вре­донос­ный скрипт запус­кает­ся, ког­да поль­зователь вво­дит логин и пароль от сво­ей учет­ной записи и начина­ет работать в сис­теме.

Боковое перемещение по сети

Для ана­лиза даль­нейших дей­ствий хакера вос­поль­зуем­ся логами Windows.

Заг­рузим каталог Logs в ути­литу fulleventlogview.exe. Для это­го перей­дем на вклад­ку File —> Choose Data Source и ука­жем путь, где хра­нят­ся фай­лы логов. Перей­дем на вклад­ку Options —> Advanced Options и ука­жем, с какого вре­мени показать события опе­раци­онной сис­темы. В качес­тве началь­ной точ­ки ука­жем 20.06.2020 22:27:31 — это мет­ка вре­мени соз­дания вре­донос­ного фай­ла
Why Saudi Arabia... .docx.

В 22:27:46 зафик­сирова­но исхо­дящее сетевое соеди­нение к вре­донос­ному ресур­су 75.19.45.11, выз­вано фай­лом
winword.exe. Далее выпол­няет­ся вре­донос­ный мак­рос, который содер­жится в заг­ружен­ном шаб­лоне.

В 22:31:08 хакер заг­рузил вспо­мога­тель­ные ути­литы для боково­го переме­щения по сети с адреса:

Сох­ранил их в файл:

В 22:31:16 декоди­рова­ли заг­ружен­ный файл
disco.jpg по алго­рит­му Base64 и сох­ранили в файл:

В 22:31:34 запус­тили исполня­емый файл
sh.exe (сбор­щик дан­ных для BloodHound), резуль­тат работы которо­го сох­ранен в файл
ddr.zip.

Про­ана­лизи­руем таб­лицу MFT и пос­мотрим, какие еще фай­лы были соз­даны в катало­ге
C:\Windows\Temp. Для это­го откро­ем получен­ный файл CSV, содер­жащий объ­екты фай­ловой сис­темы, и най­дем все фай­лы в катало­ге
Windows\Temp.

В 22:31:38 соз­дан файл с рас­ширени­ем bin.

Сле­дующий этап для зло­умыш­ленни­ка — получе­ние логинов и паролей поль­зовате­лей.

В 22:33:10 перечис­лили всех локаль­ных адми­нис­тра­торов поль­зовате­лей ском­про­мети­рован­ного компь­юте­ра.

В 22:33:18 хакер с при­мене­нием ути­литы reg.exe (прог­рамма в Windows для нас­трой­ки реес­тра) выг­рузил куст реес­тра
hklm\sam и сох­ранил его в файл:

В 22:33:24 выг­рузил куст реес­тра
hklm\system и сох­ранил в файл:

Сле­дующим эта­пом зло­умыш­ленник выг­ружа­ет фай­лы
sa.tmp и
sy.tmp и получа­ет из них NTLM-хеши паролей поль­зовате­лей. Теперь ему дос­таточ­но проб­рутить получен­ные хеши поль­зовате­лей с име­ющим­ся в его арсе­нале сло­варем. Пароль
!!feb15th2k6!! — сло­вар­ный и есть в фай­ле rockyou.txt.

В 22:35:38 зло­умыш­ленник узнал пароль
!!feb15th2k6!! поль­зовате­ля
cybercorp\backupsrv и под­клю­чил­ся к адми­нис­тра­тив­ному ресур­су
\\192.168.184.100\C$ кон­трол­лера домена, тем самым получив пол­ный дос­туп к домену. Ему оста­лось лишь заг­рузить вре­донос­ный модуль на ском­про­мети­рован­ный кон­трол­лер домена, что­бы зак­репить­ся на нем.

Выводы

В этом форензик кейсе мы рас­сле­дова­ли киберин­цидент и выяви­ли такую кар­тину:

1. Зло­умыш­ленник исполь­зовал пись­мо по элек­трон­ной поч­те с вре­донос­ным вло­жени­ем и ском­про­мети­ровал хост с адре­сом
   192.168.100.130.
2. Затем он заг­рузил полез­ную наг­рузку, которую записал в реестр, и скрипт на PowerShell, который запус­кает­ся при вво­де авто­риза­цион­ных дан­ных в сис­теме.
3. Далее хакер заг­рузил ути­литу для перечис­ления дан­ных кон­трол­лера домена, получил авто­риза­цион­ные дан­ные поль­зовате­ля
   cybercorp\backup и ском­про­мети­ровал кон­трол­лер домена.

Та­ким обра­зом, мы вос­ста­нови­ли пол­ную кар­тину дей­ствий, а зна­чит, наша работа как компьютерного кри­мина­лис­тов закон­чена.

Еще по теме: Создание лаборатории для анализа вредоносных файлов

Бывают ситуации, когда нужно узнать, когда и какие программы запускались на компьютере пользователя. Для этих целей можно использовать Проводник, редактор реестра, а также специальные утилиты вроде ExecutedProgramsList. С этими способами знакомы большинство продвинутых юзеров, но мало кому из них известно, что получить список недавно запускавшихся программ можно, проанализировав системный файл Amcache.hve.

Это файл реестра в формате REGF, расположенный в каталоге %SystemRoot%\AppCompat\Programs и содержащий информацию о запускаемых в системе приложениях.

Структура файла представлена набором записей, включающих в себя пути к исполняемым файлам программ и временные метки установки, запуска и удаления. Кроме того, файл хранит контрольные суммы (SHA1) запущенных программ. Поскольку файл постоянно используется Windows, его нельзя ни открыть напрямую, ни скопировать в другое расположение.

Чтобы его извлечь, вам придется либо загрузить компьютер с LiveCD и скопировать файл вручную, либо воспользоваться программами WinHex или R-Studio, позволяющими получать доступ к используемым системой файлам в обход драйвера NTFS.

В WinHex (запускать этот редактор нужно с правами администратора) необходимо выбрать в меню Tools -> Open Disk.

И указать системный раздел.

После того как программа создаст снапшот, перейдите в расположение C:\Windows\AppCompat\Programs, кликните по файлу Amcache.hve ПКМ, выберите «Recovery/Copy».

И укажите путь сохранения файла.

В R-Studio нужно выбрать системный раздел и создать его карту нажатием F5.

После этого переходим в расположение Amcache.hve, отмечаем его и выполняем восстановление в любой каталог.

В общем, какой из этих способов извлечения покажется вам наиболее удобным, тот и используйте.

Amcache.hve — бинарный файл, для его анализа вам понадобится утилита RegRipper, скачать которую можно со страницы разработчика github.com/keydet89. Если вдруг релиз окажется недоступным, скачиваем инструмент по ссылке yadi.sk/d/oB3_4Dn-Wvpy_A.

Распакуйте архив с утилитой, откройте от имени администратора командную строку, перейдите в расположение файлов RegRipper, а затем выполните команду следующего вида:

rip -r путь-к-файлу-Amcache.hve -p amcache > amcache.txt

В результате в папке RegRipper будет создан текстовый лог amcache.txt.

Который вы сможете просмотреть обычным Блокнотом.

Как можно видеть из примера, отчет содержит пути к исполняемым файлам приложений и дату последнего запуска. Указывается также и контрольная сумма, по которой можно проверить безопасность файла, пробив полученный хэш по базе VirusTotal.

Об атаках банковского трояна RTM на бухгалтеров и финансовых директоров писали довольно много, в том числе и эксперты Group-IB, но в публичном поле пока еще не было ни одного предметного исследования устройств, зараженных RTM. Чтобы исправить эту несправедливость, один из ведущих специалистов Group-IB по компьютерной криминалистике — Олег Скулкин подробно рассказал о том, как провести криминалистическое исследование компьютера, зараженного банковским трояном в рамках реагирования/расследования инцидента.

С чего все началось

О деятельности преступной группы RTM исследователям стало известно в декабре 2015 года. С тех пор фишинговые рассылки, распространяющие данный троян, попадают в электронные почтовые ящики потенциальных жертв с завидным постоянством.

Как вы уже знаете, c сентября по декабрь группа RTM разослала более 11 000 вредоносных писем. На достигнутом киберпреступники останавливаться не собираются, о чем свидетельствуют все новые рассылки, которые мы фиксируем как на сенсорах, защищающих наших клиентов, так и в рамках деятельности по сбору данных об актуальных угрозах.

В этой статье я расскажу, как провести криминалистическое исследование, или попросту форензику, образа накопителя компьютера, зараженного банковским трояном RTM.

Необходимые вводные

Представим, что мы не знаем о заражении компьютера RTM, а имеем лишь факт компрометации, результатом которой стало хищение денежных средств – это позволит выстроить процесс исследования более интересно, а также сделать его применимым и для других кейсов. Хочу также обратить внимание на тот факт, что в рамках данной статьи на обратной инженерии трояна я останавливаться не буду: во-первых, это не компетенция криминалиста, во-вторых, мой коллега, Семен Рогачев уже подробно об этом писал на Хабре.

Итак, все, что у нас есть – образ накопителя компьютера в формате «E01» (Encase Image File Format). Для начала неплохо было бы узнать, что там внутри. Как минимум, операционную систему, ведь именно от нее и ее версии, конечно, зависит наличие тех или иных криминалистических артефактов, которые нам предстоит исследовать.

1. Воспользуемся утилитой mmls из пакета the Sleuth Kit Браяна Кэрриера:

Что же мы имеем? Несколько NTFS-разделов, похожих на Windows. Нужно убедиться наверняка – попробуем отыскать файлы реестра, например, SOFTWARE.

2. Воспользуемся утилитами fls (the Sleuth Kit) и findstr, чтобы узнать соответствующий номер записи в главной файловой таблице (MFT):

Отлично, теперь мы можем скопировать необходимый нам для дальнейшего анализа файл с помощью icat (the Sleuth Kit):

icat -o 718848 E:\RTM.E01 234782 > SOFTWARE

Итак, у нас есть файл реестра SOFTWARE, извлечь наиболее значимую информацию из которого мы можем, например, при помощи RegRipper Харлана Карви. В данный момент нас интересует содержимое раздела Microsoft\Windows NT\CurrentVersion:

Теперь мы знаем, что исследуемый компьютер работал под управлением ОС Windows 7 Professional с пакетом обновления SP1, а, значит, знаем, с какими криминалистическими артефактами можем столкнуться, и какие из них нам могут понадобиться.

С чего же начать наши поиски? Вспомним парадокс Джесси Корнблума: «Malware can hide, but it must run». Неплохим началом может стать поиск потенциальных механизмов закрепления в системе, которые позволяют вредоносным программам осуществлять повторный запуск после перезагрузки компьютера.

Начнем с простого: возьмем файл реестра NTUSER.DAT из каталога пользователя (С:\Users\%username%\) с самой свежей датой модификации и извлечем из него данные при помощи все того же RegRipper. Если мы снова хотим получить номер записи необходимого нам файла средствами fls и findstr, то следует добавить параметр –p для fls – это позволит утилите вывести еще и полные пути к файлам. Зачем это нужно? Дело в том, что файл NTUSER.DAT есть в каталоге у каждого пользователя, а SOFTWARE один на всю систему, поэтому в данном случае важно получить номер записи определенного файла. В общем-то, использовать the Sleuth Kit совсем не обязательно, есть и более удобные инструменты, например, FTK Imager – бесплатный инструмент разработки AccessData, который может быть использован не только для создания криминалистических копий, но и исследования их содержимого:

Начнем с низко висящих фруктов, так называемых «run keys»:

Итак, что мы имеем? Раздел был последний раз изменен 7 ноября, и мы видим, что при входе пользователя запускается файл apg.exe из не самого стандартного расположения. Посмотрим, что еще можно найти в каталоге b7mg81:

TeamViewer? Интересно. Посмотрим на apg.exe поближе – воспользуемся PPEE:

Выглядит как TeamViewer, подписан как TeamViewer, значит это TeamViewer? Похоже на то. Но все не так просто. Давайте посмотрим на таблицу импортов:

Так, msi.dll, где-то мы этот файл уже видели, и это не С:\Windows\System32, а все тот же каталог b7mg81. Судя по размеру, ничего общего с оригинальным msi.dll он не имеет, а значит налицо — DLL Search Order Hijacking: операционная система начинает поиск необходимых библиотек с текущей директории, а это значит, что вместо легитимной msi.dll будет загружена та, которая находится в b7mg81.

Еще один интересный файл – TeamViewer.ini:

А вот и контр-форензика: судя по конфигурационному файлу, журналов наш TeamViewer не вел, и, видимо, использовался в качестве RAT. Что ж, неплохо. Пора выяснить, а запускался ли он вообще.

В Windows довольно много артефактов, указывающих на запуск исполняемых файлов. Давайте продолжим работать с реестром, на этот раз с файлом SYSTEM. Для того, чтобы извлечь из него данные, можно снова воспользоваться RegRipper.

Нас интересует ControlSet001\Control\Session Manager\AppCompatCache. Здесь мы найдем список исполняемых файлов с путями к ним, датами последней модификации (согласно атрибуту $STANDARD_INFORMATION), а также флагом, указывающим на то, запускался файл или нет:

Отлично, наш файл запускался как минимум один раз. Итак, у нас есть некоторый «pivot point», мы знаем, что 7 ноября на накопителе компьютера появился TeamViewer, который не вел журналов, и скорее всего не был виден пользователю, так как вместо легитимной библиотеки загружал ту, которая находится с ним в одном каталоге.

Самое время начать строить таймлайн. Думаю, хватит и того, что можно построить с помощью the Sleuth Kit. Начнем с уже известной нам утилиты fls:

fls.exe -m «C:/» -o 718848 -r -z GMT D:\RTM.E01 > bodyfile.txt

Теперь воспользуемся mactime, чтобы преобразовать полученный файл в таймлайн:

mactime.pl -d -b bodyfile.txt > timeline.csv

Таймлайны очень удобно анализировать в Timeline Explorer Эрика Циммермана. Наш таймлайн будет включать только события файловой системы. Если вы хотите, чтобы он включал и изменения в реестре, журналах и т.п., можете воспользоваться plaso. Лично я использую его крайне редко, так как обработка данных занимает очень много времени, а результат зачастую довольно избыточен.

Вернемся к таймлайну. Каталог b7mg81 был создан 7 ноября 2018 в 13:59:37:

А за две секунды до этого создается файл 21DA.tmp:

Если поискать его контрольную сумму, например, на VirusTotal, то мы получим довольно интересные результаты:

Очевидно, из данного файла и был распакован наш RAT. Идем дальше:

Еще раньше создается каталог LocalDataNT с довольно интересными файлами внутри. Взглянем, например, на WinPrintSvc.exe:

Remote Utilities – еще одно средство удаленного управления. А вот и еще один подозрительный файл, созданный несколькими секундами ранее:

Проверим его контрольную сумму:

Сразу несколько антивирусных продуктов детектируют его как «RemoteAdmin». Судя по всему, он и является источником Remote Utilities. Проверим, запускался ли обнаруженный RAT. На этот раз воспользуемся файлом реестра AmCache.hve из С:\Windows\AppCompat\Programs (получить данные из него в удобоваримом виде позволит все тот же RegRipper):

Как видно на иллюстрации, AmCache позволяет нам получить не только дату первого запуска, но и контрольную сумму файла.

Итак, мы имеет два RAT’а, но откуда они взялись? Хороший вопрос! Если еще поскроллить таймлайн, то мы увидим следы создания довольно подозрительного каталога и файла:

Несмотря на странное расширение, fnbfdnja.hej имеет привычный нам заголовок:

Что же нам покажет поиск по контрольной сумме на VirusTotal? А вот что:

Как видно на иллюстрации, некоторое антивирусное ПО детектирует наш файл довольно определенно – мы имеем дело с RTM. VT может помочь нам еще немного. Если мы посмотрим во вкладку «Relations», то увидим вот что:

Кажется, мы нашли виновника торжества – это «Документы за октябрь.exe». А может и нет, имя связанного с нашим файлом отличается, хоть контрольная сумма и совпадает. Так, снова .exe, а значит нам снова нужно искать следы запуска. Лично я очень люблю работать с реестром, поэтому снова воспользуюсь помощью уже известного файла NTUSER.DAT и RegRipper. В этот раз взглянем на UserAssist – из него мы получим имена и пути к файлам, даты их последнего запуска, а также количество этих самых запусков. Файла «Документы за октябрь.exe» не видно, зато виден другой файл:

C:\Users\%username%\Desktop\Документы среда.exe

Отлично, похоже это то, что нам нужно. Правда есть небольшая проблема – файла в положенном месте нет. Вернемся к таймлайну. После создания файла fnbfdnja.hej происходит вот что:

Файлы в каталоге Temp наверняка принадлежат RTM, но нас интересуют не они. Нас интересуют файлы $R6K21RQ.exe и $I6K21RQ.exe. Именно так выглядят помещенные в «Корзину» файлы – первый содержит непосредственно данные, второй – метаданные. Если мы посмотрим на содержимое $I6K21RQ.exe, сразу увидим путь к искомому файлу – «Документы среда.exe».

Самое время взглянуть, что нам предложит VT по его контрольной сумме:

Видим уже знакомые нам детекты – «RTM». Как оказалось, контрольная сумма нашего файла совпала с контрольной суммой «Документы за октябрь.exe». Более того, VT знает еще несколько файлов с такой же контрольной суммой:

Хорошо бы получить какие-нибудь сетевые индикаторы компрометации. Дампа памяти у нас нет, дампа сетевого траффика тоже, что делать? Файл подкачки! Но как найти иголку в стоге сена? И здесь нам тоже немного поможет VT, на этот раз вкладка «Behavior»:

Похоже на С2, не так ли? Посмотрим, есть ли что-нибудь подобное в нашем файле подкачки (pagefile.sys). Разумеется, есть:

Итак, мы подтвердили, что наш файл взаимодействовал с 185.141.61[.]246. Попробуем найти еще сетевых индикаторов. Одним из RAT’ов был TeamViewer, постараемся найти что-нибудь похожее на его ID. Для этого можно, например, воспользоваться регулярными выражениями:

Отлично, у нас есть еще один сетевой индикатор – 195.123.219[.]87. Разумеется, файлы подкачки пригодны не только для поиска сетевых индикаторов. Если мы вернемся к вкладке «Behavior» на VT, то увидим, что наш файл создает задачи в планировщике. Если мы поищем по строке «fnbfdnja.hej», то найдем вот что:

Созданная задача и запускает fnbfdnja.hej посредством rundll32.exe.

Что ж, пора закругляться. Самое время определить, откуда все-таки взялся файл «Документы среда.exe». Мы уже знаем, что это RTM, а раз это RTM, то наиболее вероятным вектором заражения является фишинговое письмо. В данном случае жертва использовала Microsoft Outlook, поэтому мы нашли OST-файл с почтой в привычном месте, а в нем – то самое фишинговое письмо:

Однако закончить наш пост я хочу не на этом, а на еще одном интересном артефакте. Если мы вернемся к файлу NTUSER.DAT и посмотрим значение параметра «Shell» раздела Software\Microsoft\Windows NT\CurrentVersion\Winlogon, то вместо привычного «explorer.exe» увидим вот что:

А это значит, что после входа пользователя вместо запуска «Проводника» будет осуществляться завершение работы системы, а с ним и завершение этой статьи.

Following on from the previous [DFIR TOOLS] posts below, this time I will speak about AmcacheParser again from the Eric Zimmerman suite.

• [DFIR TOOLS] Timeline Explorer, what is it & how to use!

We will start with Erics description on its purpose:-

“Amcache.hve parser with lots of extra features. Handles locked files”

But what is the Amcache.hve?

Again, like previously I will share links to excellent resources I find but in short:-

The Amcache.hve file is a registry file that stores the metadata information of executed applications that have been executed on the system!

Amcache.hve, not to be mistaken for ‘Shimcache or Prefetch’ which I will speak about in coming blog posts is a replacement for the pre windows 8 ‘RecentFilesCache.bcf’.

Amcache.hve is a small registry hive that stores a wealth of information about recently run applications and programs, including full path, file timestamps, and file SHA1 hash value, it is commonly found at the following location:

C:\Windows\AppCompat\Programs\Amcache.hve

And is standard within Windows operating system’s since windows 8.

I am here to speak about the tools and not the files themselves so if you want to read more on that here are a few good resources I found.

• Amcache.hve in Windows 8 – Goldmine for malware hunters
• Leveraging the Windows Amcache.hve File in Forensic Investigations
• ANALYSIS OF THE AMCACHE V2
• Revealing the RecentFileCache.bcf File

As you can see from forensics stand point it really is a must that we check out these files.

How do we use AmcacheParser?

The tool comes as an exe (AmcacheParser.exe) from the page of Eric Zimmerman, here.

When downloaded we open a CMD as Admin and go to the location.

From there we can run the command AmcacheParser.exe -h to open up the help to see the options.

From there we run the tool for instance if I run:-

AmcacheParser.exe -f C:\Windows\appcompat\Programs\Amcache.hve –-csv c:\temp –dt yyyy-MM-ddTHH:mm:ss

This will:-

• Run AmcacheParser.exe
• -f tells it to use the file at that destination, i.e. C:\Windows\appcompat\Programs\Amcache.hve
• –csv tells the tool to export as this type of file and at the directory stated i.e. c:\temp
• –dt tells the tool to use a custom date/time format when displaying time stamps i.e. yyyy-MM-ddTHH:mm:ss

And then when run we get the parsed results out of SIX different .csv files for us to investigate.

From there we can load them into ‘TimeLine Explorer‘ that we spoke about HERE or even just use excel if you like.

There is lots of information we can look for like above there is ‘Found 397 unassociated file entry’.

An unassociated file entry is a program or application that is not associated with any known source like a Microsoft, Google, Adobe, HP etc so if you are looking for BAD files there is a high chance you can find them here.

Anyways, that is AmcacheParser.

Take it easy

Alex

Last Updated: 07/06/2023
[Time Required for Reading: 3.5 minutes]

Hive Editor 3D Environment files, such as Amcache.hve, are considered a type of 3D Image (Hive Editor 3D Environment) file. They are associated with the HVE file extension, developed by Microsoft for Office 2016.

The first version of Amcache.hve was released for the Windows 8 Operating System on 08/01/2012 inside Windows 8.

The most recent version [file version 2016] was introduced on 09/22/2015 for Office 2016.

Amcache.hve is found in Office 2016, Office 2013, and Windows 10.

In this short article, you will discover detailed file information, steps for troubleshooting HVE file problems with Amcache.hve, and list of free downloads for every version that exists in our comprehensive file directory.

What are Amcache.hve Error Messages?

Most HVE errors are due to missing or corrupt files. Your Amcache.hve file could be missing due to accidental deletion, uninstalled as a shared file of another program (shared with Office), or deleted by a malware infection. Furthermore, Amcache.hve file corruption could be caused from a power outage when loading Office, system crash while loading or saving Amcache.hve, bad sectors on your storage media (usually your primary hard drive), or malware infection. Thus, it’s critical to make sure your anti-virus is kept up-to-date and scanning regularly.

How to Fix Amcache.hve Errors in 3 Steps (Time to complete: ~5-15 minutes)

If you’re encountering one of the error messages above, follow these troubleshooting steps to resolve your Amcache.hve issue. These troubleshooting steps are listed in the recommended order of execution.

Step 1: Restore your PC back to the latest restore point, «snapshot», or backup image before error occurred.

Step 2: If recently installed Office (or related software), uninstall then try reinstalling Office software.

Step 3: Perform a Windows Update.

If Those Steps Fail: Download and Replace Your Amcache.hve File (Caution: Advanced)

If none of the previous three troubleshooting steps have resolved your issue, you can try a more aggressive approach (Note: Not recommended for amateur PC users) by downloading and replacing your appropriate Amcache.hve file version. We maintain a comprehensive database of 100% malware-free Amcache.hve files for every applicable version of Office. Please follow the steps below to download and properly replace you file:

1. Locate your Windows operating system version in the list of below «Download Amcache.hve Files».
2. Click the appropriate «Download Now» button and download your Windows file version.
3. Copy this file to the appropriate Office folder location:

   Windows 10: C:\Windows\AppCompat\Programs\
   Windows 10: C:\Windows\AppCompat\Programs\
   Windows 8.1: C:\Windows\AppCompat\Programs\
   Windows 8: C:\Windows\AppCompat\Programs\
   Windows 8: C:\Windows\AppCompat\Programs\

4. Restart your computer.

If this final step has failed and you’re still encountering the error, you’re only remaining option is to do a clean installation of Windows 10.

GEEK TIP : We must emphasize that reinstalling Windows will be a very time-consuming and advanced task to resolve Amcache.hve problems. To avoid data loss, you must be sure that you have backed-up all of your important documents, pictures, software installers, and other personal data before beginning the process. If you are not currently backing up your data, you need to do so immediately.

Download Amcache.hve Files (Malware-Tested 100% Clean)

CAUTION : We strongly advise against downloading and copying Amcache.hve to your appropriate Windows system directory. Microsoft typically does not release Office HVE files for download because they are bundled together inside of a software installer. The installer’s task is to ensure that all correct verifications have been made before installing and placing Amcache.hve and all other HVE files for Office. An incorrectly installed HVE file may create system instability and could cause your program or operating system to stop functioning altogether. Proceed with caution.

You are downloading trial software. The purchase of a one-year software subscription at the price of $39.95 USD is required to unlock all software features. Subscription auto-renews at the end of the term (Learn more). By clicking the «Start Download» button above and installing «Software», I acknowledge I have read and agree to the Solvusoft End User License Agreement and Privacy Policy.