Spacebar Campaigns
Home / Campaigns / Operation Hanguel Flow / Detection Map

SB-06 Detection Map

이 페이지는 Operation Hanguel Flow 환경에서 발생하는 공격 Technique과 이를 증명할 수 있는 Log Source를 분리해 정리한 Campaign Page 2 초안이다. Technique 문서는 공격 행위와 분석 관점을 설명하고, Log Catalog는 원본 로그 위치, 수집 방식, 주요 필드, 커버 가능한 Technique을 역매핑한다.

문서화 원칙 Technique 문서와 Log Source 문서를 분리한다. Technique은 관련 Log ID를 참조하고, Log Catalog는 해당 로그가 어떤 Technique들을 커버하는지 역매핑한다.

Environment Scope

AWS Regionap-northeast-2
Bastion / Nginx / NAThanguel-nginx-bastion, 172.31.40.163
Langflow Apphanguel-langflow-app, 172.31.1.155
ELK / SOChanguel-elk-soc, 172.31.1.152
Public EntryALB + hanguel-nginx path
Campaign IDHGC-2025-001

Technique to Log Map

# MITRE ID Technique 현재 환경 적용 여부 Related Logs Representative event.action
1T1595Active Scanning관측 가능HFL-001, HFL-003web_scanner
2T1190Exploit Public-Facing Application핵심 TechniqueHFL-001, HFL-003, HFW-001, HFE-002langflow_rce_attempt, web_ssrf, web_file_inclusion
3T1059.006Command and Scripting Interpreter: Python핵심 TechniqueHFL-003, HFA-001langflow_rce_attempt
4T1059.004Unix Shell핵심 TechniqueHFA-001, HFL-003, HFE-002hanguel_shell_exec, container_shell_exec
5T1082System Information Discovery관측 가능HFA-001, HFL-002, HFL-003command_discovery
6T1083File and Directory Discovery관측 가능HFA-001, HFL-002, HFL-003command_discovery
7T1005Data from Local System관측 가능HFL-001, HFA-002, HFL-003web_path_traversal, hanguel_sensitive_file_access
8T1003OS Credential Dumping조건부 관측HFA-002, HFL-003hanguel_sensitive_file_access
9T1105Ingress Tool Transfer관측 가능HFA-001, HFA-004, HFL-003hanguel_tool_transfer, tool_transfer
10T1611Escape to Host조건부 관측HFA-003, HFL-003hanguel_docker_socket_access
11T1078Valid Accounts확장 필요HFL-004, HFC-001SSH 성공 탐지 룰 확장 필요
12T1110Brute Force관측 가능HFL-004, HFL-003ssh_authentication_failure

Detection Details

아래 상세 항목은 Technique별로 어떤 행위가 발생하고, 어떤 Log ID를 1차 근거로 삼아야 하며, 어떤 필드와 KQL로 확인할 수 있는지 정리한다. 단일 로그만으로 단정하지 않고, source.ip, event.action, hanguel.classification, related.events를 pivot으로 연결한다.

T1190 Exploit Public-Facing Application

외부 공개 Langflow 서비스의 /api/v1/validate/code API를 직접 호출하고, CVE-2025-3248 맥락에서 Python code validation 경로를 악용해 명령 실행을 유도하는 단계다.

Detection Point

url.original, user_agent.original, event.action, vulnerability.id

KQL Draft

event.action : "langflow_rce_attempt"

Investigation Pivot: 같은 source.ip의 직전 web scan 여부, 이후 hanguel_shell_exec, hanguel_sensitive_file_access, hanguel_tool_transfer 발생 여부를 본다.

T1059.004 / T1059.006 Unix Shell / Python Execution

validate API 악용 이후 Langflow 컨테이너 내부에서 bash, sh, python, os.system을 실행하는 단계다.

Detection Point

subj=docker-default, comm="bash", comm="sh", comm="python3"

KQL Draft

event.action : ("hanguel_shell_exec" or "container_shell_exec")

T1082 / T1083 System and File Discovery

공격자가 컨테이너 내부에서 whoami, id, hostname, uname -a, pwd, ls -la 등으로 환경 정보를 확인하는 단계다.

Detection Point

event.action: command_discovery, RCE 이후 발생 시 attack 승격

KQL Draft

event.action : "command_discovery"

T1005 / T1003 Data and Credential-Oriented File Access

/etc/passwd, /etc/shadow, internal-docs, fake secret 등 내부 정보나 credential 단서에 접근하는 단계다.

Detection Point

web_path_traversal, web_ssrf, hanguel_sensitive_file_access

KQL Draft

event.action : ("web_path_traversal" or "web_ssrf" or "hanguel_sensitive_file_access")

T1105 Ingress Tool Transfer

RCE 이후 curl 또는 wget으로 외부 도구를 가져오는 단계다.

Detection Point

auditd comm="curl" 또는 comm="wget", URL 포함 command output

KQL Draft

event.action : ("hanguel_tool_transfer" or "tool_transfer")

T1611 Escape to Host

컨테이너에서 host Docker socket에 접근해 host 제어 또는 container escape를 시도하는 단계다.

Detection Point

/var/run/docker.sock 접근, hanguel_docker_socket_access

KQL Draft

event.action : "hanguel_docker_socket_access"

Technique to Log Matrix

TechniqueHFL-001HFL-002HFL-003HFL-004HFA-001HFA-002HFA-003HFA-004HFW-001HFW-002HFC-001HFE-002
T1595 Active ScanningO-O-----OO-O
T1190 Exploit Public-Facing ApplicationO-O-----O--O
T1059.006 Python-OO-O------O
T1059.004 Unix Shell-OO-O------O
T1082 System Information Discovery-OO-O------O
T1083 File and Directory Discovery-OO-O------O
T1005 Data from Local SystemOOO--O-----O
T1003 OS Credential Dumping--O--O-----O
T1105 Ingress Tool Transfer-OO-O--O-O-O
T1611 Escape to Host--O---O----O
T1110 Brute Force--OO--------
T1078 Valid Accounts--확장 필요O------O-

Referenced Log Catalog

Current Gaps

  1. SSH 성공 로그 룰을 추가해 Accepted publickeyssh_authentication_success 또는 valid_account_usage로 태깅한다.
  2. AWS WAF, VPC Flow Log, CloudTrail을 ELK로 직접 ingest하면 AWSL 계열 보조 증거가 강해진다.
  3. internal-docs:8080 접근을 internal_data_access로 태깅하면 T1005/T1213 설명력이 올라간다.
  4. /tmp/hanguel_*.txt, /tmp/*.tar.gz 생성/압축 감시를 추가하면 T1074.001 Local Data Staging을 확장할 수 있다.
  5. VPC Flow Log 또는 proxy log 기반 외부 전송 탐지를 추가하면 T1041/T1048까지 확장할 수 있다.