Wat is de AmCache eigenlijk en hoe kan dit nuttig zijn?
Het is goed om te weten dat de algemene kennis over de AmCache nog niet zo lang bekend is. Hoewel het onderzoeken van de AmCache aardig wat technische vaardigheid en kennis verlangt, geldt dat ook voor de aanvallers. Het is daarom echt de moeite waard om u hierin te verdiepen, daar het een enorme goudmijn aan informatie kan bevatten.
Wat is AmCache?
De AmCache is een Windows artefact dat metadata opslaat met betrekking tot programma’s (executables). Microsoft heeft deze functie toegevoegd vanaf Windows versie 8 en hoger. Het is onderdeel van de ‘Application Experience Service’. Deze waardevolle database wordt vaak over het hoofd gezien, omdat het betrekkelijk nieuw is. Het is één van de artefacts die in Microsoft Windows het aanwezig zijn van programma’s en drivers kan aantonen.
De AmCache is een zogenaamde Registry Hive* [1][1] Een registry hive, ook wel bekend als een registersleutel, is een bestand in het Windows-register waarin configuratiegegevens en instellingen van het besturingssysteem, hardware, software en gebruikersaccounts worden opgeslagen. Het Windows-register is een hiërarchische database die belangrijke informatie bevat voor de werking van het besturingssysteem. en bevat informatie over de executables en de metadata van de executables. Elke keer als een nieuwe gebruiker zich aanmeldt op een computer, wordt een nieuwe hive aangemaakt voor die gebruiker met een apart bestand voor het gebruikersprofiel.
Het Windows-register is opgebouwd uit meerdere hives, die verschillende delen van de configuratiegegevens bevatten. Elke hive heeft een specifieke functie en bevat registersleutels en -waarden die betrekking hebben op die functie.
Welke informatie bevat de AmCache?
De AmCache bevat waardevolle informatie, denk hierbij aan:
- Het specifieke pad en diskvolume waar de executable te vinden is
- De datum en tijd van het aanmaken van het bestand
- De datum en tijd van het compileren van het bestand
- De bestandsgrootte
- Informatie over de uitgever van het programma
- Informatie over de eventuele installatie van het programma
- Informatie over de drivers die geladen zijn
- Datum/tijd dat het bestand laatst gewijzigd is
- De SHA1 hash van de executable en drivers
Deze informatie blijft bewaard in de AmCache. Andere Windows artefacts die sporen achterlaten over programma’s zijn onder andere snelkoppelingsbestanden (LNK files), Jump Lists, ShimCache, UserAssist en de .pf bestanden in de map Prefetch.
Het aanwezig zijn van een executable in de AmCache hoeft niet altijd te betekenen dat de executable daadwerkelijk is uitgevoerd op het systeem. Het is een indicatie van aanwezigheid van de executable en de bijbehorende drivers.
Wat kan ik met de informatie uit de AmCache?
De AmCache slaat ook sporen op van inmiddels verwijderde toepassingen en de analyse ervan kan artefacten van de verwijderde toepassingen zichtbaar maken. Met name interessant is de categorie van executables die niet bij een installatie package horen. Het kan dan namelijk delen van data bevatten die specifiek relateren aan eerder gebruikte malware, scanning tools en wiping tools.
Hieronder volgen een aantal scenario’s om voorbeelden te geven van wat we met de informatie uit de Amcache kunnen doen:
- Bij een Digitaal Forensisch Onderzoek kan de informatie uit de Amcache bepaalde inzichten verschaffen in uitvoeringspatronen van programma’s, recent gebruikte bestanden en tijdsindicatie bij de uitvoering van programma’s. Hiermee kunnen we de gebeurtenissen reconstructueren en daarmee een tijdlijn maken van de verdachte gebeurtenissen.
- Bij een Malware onderzoek kan de Amcache helpen met het identificeren van kwaadaardige programma’s of ongeautoriseerde activiteiten signaleren. Door de uitvoeringsgeschiedenis, bestandspaden en digitale handtekeningen te analyseren, kunnen we verdachte of onbekende programma’s identificeren die zijn uitgevoerd. Ongebruikelijke bestandstoegangspatronen of de aanwezigheid van niet-ondertekende of gewijzigde uitvoerbare bestanden kunnen wijzen op mogelijk kwaadaardige activiteiten.
- In het geval van Incident Response, een beveiligingsincident of een zogenaamd systeem compromittering, kan de informatie uit het Amcache helpen bij het identificeren van de omvang van de inbreuk en de programma’s die erbij betrokken zijn. Het kan details verschaffen over de uitvoering van ongeautoriseerde of verdachte applicaties, zodat onderzoekers de omvang van het incident kunnen begrijpen en de juiste acties kunnen ondernemen.
Hoe bekijk ik de AmCache?
De locatie waar de AmCache staat opgeslagen is C:\Windows\AppCompat\Programs\Amcache.hve.
Er bestaan heel veel tools om de Amcache data te analyseren, waarvan de meeste bekende de AmCacheParser van Eric Zimmerman en RegRipper van H. Carvey zijn.
Een zeer uitgebreide analyse van de AmCache is geschreven door Blanch Lagny en is hier te vinden: https://www.ssi.gouv.fr/uploads/2019/01/anssi-coriin_2019-analysis_amcache.pdf
Artifacten uitgelegd: https://www.youtube.com/watch?v=p7-MzuOjRKA
Hebt u naar aanleiding van dit artikel vragen? Neem contact met ons op.
