Analyse Forensic des Shellbags
Les Shellbags sont un ensemble de clés du Registre Windows conçues pour stocker les préférences d’affichage des dossiers d’un utilisateur (taille de la fenêtre, paramètres des icônes, type d’affichage). Pour les analystes en investigation numérique et réponse aux incidents (DFIR), ils agissent comme une “mémoire photographique” de la navigation de l’utilisateur dans l’Explorateur Windows. Les Shellbags persistent bien après que les dossiers ou fichiers auxquels ils font référence ont été supprimés, ce qui les rend cruciaux pour reconstruire les activités de reconnaissance d’un attaquant.
Objectif et mécanisme
Section intitulée « Objectif et mécanisme »L’objectif des Shellbags est d’offrir une expérience utilisateur cohérente. Lorsqu’un utilisateur configure un dossier, Windows stocke ces paramètres afin qu’ils soient conservés d’une session à l’autre.
Comment ça fonctionne :
Section intitulée « Comment ça fonctionne : »- Chaque fois qu’un utilisateur interagit avec un dossier ou même le visualise simplement dans l’arborescence de l’Explorateur, Windows met à jour des clés de Registre spécifiques.
- Ces clés sont structurées de manière hiérarchique, cartographiant ainsi fidèlement le chemin navigué par l’utilisateur.
Emplacement et structure
Section intitulée « Emplacement et structure »Les Shellbags sont stockés dans les ruches du Registre, en fonction du contexte de l’utilisateur :
- Contexte de l’utilisateur actuel (Current User) :
- Ruche :
NTUSER.DAT - Clés de Registre :
Software\Microsoft\Windows\Shell\BagMRUetSoftware\Microsoft\Windows\Shell\Bags
- Ruche :
- Contexte Système / Autres utilisateurs :
- Ruche :
UsrClass.dat - Chemin :
C:\Users\<nom_utilisateur>\AppData\Local\Microsoft\Windows\UsrClass.dat - Clés de Registre :
Local Settings\Software\Microsoft\Windows\Shell\BagMRUetLocal Settings\Software\Microsoft\Windows\Shell\Bags
- Ruche :
Utilité en Forensic
Section intitulée « Utilité en Forensic »Les Shellbags sont essentiels pour identifier l‘“intention” d’un utilisateur ou d’un attaquant sur un système.
- Preuve d’accès à des dossiers supprimés : étant donné que les clés de Registre persistent, les Shellbags peuvent prouver qu’un dossier a existé et a été consulté, même si ce dossier et son contenu ont été supprimés par la suite.
- Traçage de la reconnaissance d’un attaquant : les analystes peuvent utiliser les Shellbags pour reconstruire les déplacements d’un attaquant, comme l’exploration de :
- Partages réseau (
\\serveur\partage) - Répertoires d’autres utilisateurs (
C:\Users\) - Chemins système sensibles (
C:\Windows\System32\)
- Partages réseau (
- Identification de l’Utilisation de Médias Externes : les Shellbags enregistrent l’accès aux répertoires sur des supports amovibles (clés USB, disques durs externes), fournissant ainsi des preuves de vecteurs potentiels d’exfiltration de données ou d’introduction de malwares.
Outils d’analyse
Section intitulée « Outils d’analyse »Étant donné la complexité extrême de leur structure binaire au sein du Registre, une analyse manuelle est inefficace.
- ShellBagsExplorer.exe (Eric Zimmerman) : l’outil de référence dans l’industrie pour extraire (parser) et visualiser les données des Shellbags sous un format d’arborescence de répertoires lisible.
- RegRipper : un outil alternatif qui inclut des plugins dédiés pour extraire les informations des Shellbags.
Détection et Threat Hunting
Section intitulée « Détection et Threat Hunting »Les découvertes liées aux Shellbags doivent être corrélées avec d’autres artefacts forensic pour établir une chronologie (timeline) complète :
- Fichiers LNK (pour l’accès à des fichiers spécifiques)
- Jumplists (pour les activités spécifiques aux applications)
- Journaux d’événements Windows (Windows Event Logs, en particulier l’Event ID 4663 ou 5140)