SB-06 Campaign Logs

이 페이지는 Operation Hanguel Flow에서 실제로 참조하는 로그만 모아 보여준다. 전체 팀 공통 로그 목록은 Global Log Catalog에서 확인한다.

Linux auditd execve 이벤트로 shell/python 실행, discovery 명령, tool transfer 명령을 확인하는 로그.

T1059 T1059.004 T1059.006 T1082 T1083 T1105

auditd로 `/etc/passwd`, `/etc/shadow`, `/etc/sudoers` 등 민감 파일 접근을 확인하는 로그.

T1005 T1003

auditd로 `/var/run/docker.sock` 접근을 확인하여 container escape 또는 host Docker 제어 시도를 분석하는 로그.

T1611

auditd에서 `curl`, `wget` 실행을 추적하여 RCE 이후 도구 다운로드 시도를 확인하는 로그.

T1105

AWS API 사용, IAM/보안그룹 변경, EC2 start/stop, CloudTrail/WAF/GuardDuty 설정 변경을 추적하는 보조 로그.

T1078 T1098 T1562

시간창 내 복수 이벤트를 묶어 RCE confirmed, RCE to collection, recon to exploit 같은 incident 후보를 생성하는 상관분석 알림.

T1595 T1190 T1059 T1005 T1105 T1611

Langflow 앞단 Nginx 및 Docker JSON access log에서 API 접근, 스캐닝, 취약 API 호출, path traversal, SSRF 의심 요청을 확인하는 로그.

T1595 T1190 T1005 T1059

Langflow application/container stdout에서 application error, command output, discovery command 흔적을 확인하는 로그.

T1059 T1059.006 T1082 T1083 T1005 T1105

Hanguel IR Agent가 Docker log, host log, auditd log를 ECS 유사 JSON으로 enrich하여 Logstash로 전송한 정규화 이벤트.

T1595 T1190 T1059.006 T1059.004 T1082 T1083 T1005 T1003 T1105 T1611 T1110 T1078

Linux `/var/log/auth.log`에서 SSH 실패, 성공, 세션 이벤트를 확인하는 로그. 현재 Hanguel agent는 실패 탐지가 우선 구현되어 있다.

T1110 T1021.004 T1078

ALB 앞단 AWS WAF에서 web attack, scanning, known bad input 판단을 확인하는 보조 로그.

T1190 T1595

VPC 네트워크 흐름에서 내부 통신, 외부 통신, C2 의심 연결, 비정상 egress를 분석하는 보조 로그.

T1041 T1048 T1021 T1595 T1105