Spacebar Campaigns
Home / OZZY PMS Chain / Campaign Logs / HAC-001

HAC-001 Hanguel AD Sequential Correlator Alert

Log ID:
HAC-001
Source:
hanguel-ad-correlator.service
Representative Path:
SOC service /opt/hanguel-elk/correlator/hanguel_ad_correlator.py, index hanguel-alerts-*
Collection:
Correlator reads hanguel-ad-agent-* and langflow-agent-*, then writes hanguel-alerts-*
Current Status:
correlator active. 신규 loader 룰 2건 생성 확인, 일부 룰은 재평가/캡처 필요
Primary Use:
단일 이벤트가 아니라 시간창 내 복수 행위를 incident 후보로 묶음

상관분석 요약

SB-07은 단일 이벤트보다 순서가 중요하다. PMS patch 실행 뒤 AD/DC discovery, credential artifact 발견, DC WinRM/C$ 접근, loader forensic artifact가 이어지면 각각의 행위를 하나의 attack chain으로 묶어야 한다.

대표 rule.id

sb07-pms-patch-discovery-001
sb07-credential-dc-access-002
sb07-pms-credential-chain-003
sb07-aws-control-plane-local-admin-022
sb07-loader-forensic-triad-012
sb07-loader-file-lifecycle-013
sb07-manual-mapping-inferred-014

주요 필드

필드의미예시
rule.idcorrelation rule IDsb07-loader-forensic-triad-012
related.events연결된 원본 이벤트event IDs
hanguel.risk_score위험도85
event.actionalert actionmanual_mapping_inferred_from_artifacts
correlation.key연결 기준run:SB07-FULL-BAS-... 또는 host/time window

탐지 포인트

  1. HTE-001 normal 이벤트는 alert로 묶이지 않아야 한다.
  2. HTE-002 attack 이벤트는 patch -> discovery -> credential -> DC access sequence로 묶여야 한다.
  3. manual_mapping_inferred는 직접 증거가 아니라 추론 alert로 유지한다.

원본 로그 기준 상관분석 포인트

연결할 원본 행위연결 필드분석 의미
patch 실행 후 AD discoveryhost.name, @timestamp, message:*nltest*PMS patch 이후 내부 정찰이 이어졌는지 확인
credential artifact 후 DC accessmessage:*dc_cred.xml*, message:*Invoke-Command*, message:*C$*credential 발견이 원격 접근으로 이어졌는지 확인
loader staging 후 task 실행message:*hgl_loader.exe*, message:*HanguelLoaderDiag*DC에 loader chain 배치 후 task가 실행됐는지 확인
loader forensic triadHAD-005, HAD-007, HAD-008, HAD-009crash, cache, task, USN을 묶어 loader 실행 정황 판단
직접 증거와 추론 분리HAD-003 Sysmon Event ID 10 존재 여부manual_mapping_inferred와 직접 ProcessAccess 증거를 분리

Analyst Workflow

Correlation alert는 1차 헌팅 출발점이 아니라, 원본 로그에서 찾은 행위를 시간창 안에서 묶어 incident 후보로 확인하는 2차 산출물이다. 분석 순서는 원본 로그 검색 -> host/time/user/path pivot -> correlation alert 확인 순서로 둔다.

Analyst Hunting KQL

원본 이벤트를 먼저 찾은 뒤, 같은 시간대의 alert를 확인한다.

campaign.id:"SB-07" and host.name:("hanguel-win01" or "hanguel-dc01") and message:(*dc_cred.xml* or *hgl_loader.exe* or *HanguelLoaderDiag* or *lsass*)
campaign.id:"SB-07" and event.category:("process" or "file" or "authentication") and host.name:("hanguel-win01" or "hanguel-dc01")
campaign.id:"SB-07" and message:(*patch.ps1* or *dc_cred.xml* or *hgl_loader.exe* or *HanguelLoaderDiag* or *hgl_diag.bin*)

Correlation Pivot

정규화 alert 검증 또는 보고서용 묶음 확인에 사용한다.

rule.id:("sb07-pms-patch-discovery-001" or "sb07-credential-dc-access-002" or "sb07-pms-credential-chain-003" or "sb07-aws-control-plane-local-admin-022" or "sb07-loader-forensic-triad-012" or "sb07-manual-mapping-inferred-014")