Analyse d'Artefact : Windows Error Reporting (WER)

Note

Résumé exécutif : conçu par Microsoft pour collecter des données de diagnostic lorsque des applications plantent (crash), ne répondent plus (hang) ou rencontrent des erreurs noyau, le service Windows Error Reporting (WER) est une mine d’or forensique involontaire. Pour les analystes DFIR, les artefacts WER fournissent des preuves historiques hautement durables de l’exécution de programmes, des chemins de fichiers précis et de l’instabilité des applications. Il répond de manière unique à la question critique : “qu’est-ce qui a planté sur cette machine, et quand ?“

1. Aperçu technique : le mécanisme de rapport

Lorsqu’une application rencontre une exception non gérée, le système d’exploitation Windows invoque le service WER pour gérer le plantage.

1. Interception : le système d’exploitation suspend le processus défaillant et lance WerFault.exe.
2. Capture des données : WerFault.exe capture l’état du processus mourant, ce qui peut inclure la génération d’un dump mémoire complet ou partiel (minidump).
3. Génération du rapport : un fichier de rapport textuel (.wer) est généré, résumant les paramètres du crash.
4. Archivage local : le rapport est sauvegardé dans un répertoire local avant que le système ne tente de transmettre la télémétrie à Microsoft.

Astuce

Nuance forensique : même si la transmission de la télémétrie à Microsoft est désactivée via une stratégie de groupe (GPO) ou la configuration du poste, la génération locale et l’archivage des fichiers .wer ont généralement toujours lieu, préservant ainsi l’artefact pour les investigateurs.

2. Emplacement et structure de l’artefact

Les artefacts WER sont divisés en deux catégories principales selon le contexte du processus défaillant (espace utilisateur vs processus système).

A. Emplacements des répertoires

• Plantages spécifiques à l’utilisateur : C:\Users\<Username>\AppData\Local\Microsoft\Windows\WER\
• Plantages à l’échelle du système (processus SYSTEM) : C:\ProgramData\Microsoft\Windows\WER\

Au sein de ces chemins, les analystes doivent se concentrer sur trois sous-répertoires principaux :

1. ReportArchive : le référentiel historique des anciens plantages. C’est la cible forensique principale.
2. ReportQueue : les rapports en attente de transmission à Microsoft.
3. Temp : les fichiers temporaires générés pendant le processus de gestion du crash.

B. Structure du fichier .wer

Le fichier .wer lui-même est un fichier texte brut formaté comme un fichier de configuration INI.

Les champs forensiques critiques à l’intérieur d’un fichier .wer incluent :

• EventType : la nature du problème (ex: APPCRASH, AppHangB1).
• AppPath : le chemin absolu du fichier exécutable. (preuve irréfutable de l’exécution et de son emplacement).
• AppName : le nom de l’exécutable défaillant.
• EventTime : l’horodatage précis du plantage (stocké au format Windows FileTime).
• TargetAppId : contient souvent des métadonnées ou une représentation par hachage de l’application.

3. Valeur forensique en réponse aux incidents

Le WER est un artefact hautement résilient. Parce qu’il documente l’échec plutôt que le succès, il persiste souvent bien après que les artefacts d’exécution de routine aient été écrasés (rotation).

Identification des malwares “instables”

Les acteurs de la menace déploient fréquemment des outils compilés à la hâte, des chiffreurs de ransomware mal testés ou des droppers personnalisés. Ces binaires sont notoirement instables. Trouver un répertoire dans ReportArchive nommé AppCrash_malware.exe_[...] fournit le chemin exact depuis lequel la charge utile a été lancée et l’heure précise (Time of Death) de la tentative d’exécution.

Preuve d’exécution historique

Le WER conserve les rapports sur de longues périodes. Les analystes peuvent trouver la trace d’un outil d’attaque (comme un psexec.exe renommé ou mimikatz.exe) qui a planté il y a plusieurs mois, bien après que les fichiers Prefetch (.pf) associés aient été écrasés.

Techniques de menace avancées (abus de WerFault)

Les acteurs de la menace sophistiqués abusent activement du mécanisme WER pour le vol d’identifiants et la persistance.

• Dump mémoire de LSASS : si un attaquant fait planter intentionnellement ou injecte du code dans le service LSASS (lsass.exe), WerFault.exe peut générer automatiquement un dump mémoire (lsass.dmp) dans le cadre du processus de rapport d’erreur. Les attaquants peuvent récupérer ce fichier dump légitime pour extraire des identifiants hors ligne, contournant ainsi les hooks EDR qui surveillent l’accès direct à LSASS.
• Persistance via “Silent Process Exit” : les attaquants peuvent modifier la clé de registre Image File Execution Options (IFEO) pour activer la sortie silencieuse de processus (Silent Process Exit) pour un binaire spécifique. Lorsque le processus ciblé se termine, WerFault.exe peut être configuré pour lancer silencieusement un processus malveillant secondaire (un processus “moniteur”), agissant comme un mécanisme de persistance et d’évasion extrêmement furtif.

4. Corrélation avec le journal d’événements

Si les acteurs de la menace suppriment systématiquement les fichiers .wer du disque, les événements de plantage restent consignés dans le journal d’événements Application de Windows.

• Événement 1000 (Erreur d’application) : détaille le nom de l’application défaillante et le nom du module défaillant.
• Événement 1001 (Windows Error Reporting) : contient l’ID du bucket et le chemin absolu vers le fichier de rapport .wer. Même si le fichier est supprimé, le chemin consigné ici confirme l’emplacement d’origine du binaire ayant planté.

5. Outils recommandés

Les fichiers .wer étant en texte brut, un triage manuel s’avère très efficace. Un simple grep ou findstr sur le répertoire ReportArchive à la recherche de mots-clés suspects (cmd.exe, powershell, noms malveillants connus) donne des résultats immédiats.

WerForensicator

Un outil d’analyse spécialisé conçu pour lire récursivement les fichiers .wer, décoder les horodatages et exporter les résultats dans des formats structurés pour l’analyse chronologique.

RECmd (Registry Explorer Command)

Utilisé pour analyser les clés de registre liées au WER (HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting) afin d’identifier les falsifications ou la persistance via Silent Process Exit.

---

Références et lectures complémentaires

• SANS Institute : Windows Forensic Analysis
• MITRE ATT&CK : OS Credential Dumping: LSASS Memory (T1003.001)
• Artefact lié : Comprendre les preuves d’exécution via le Prefetch
• Artefact lié : Amcache et RecentFileCache