Home / OZZY PMS Chain / Campaign Logs / HAC-002

HAC-002 AWS Control-Plane Local Admin Bridge Verification

Log ID:

HAC-002

Source:

AD-JBOSS\verify_aws_control_plane_win01_admin.py

Representative Path:

C:\Users\LG\Desktop\침해사고분석_프로젝트\AD-JBOSS\verify_aws_control_plane_win01_admin.py

Collection:

Manual redacted JSON output, optional HTTP collector -> current ELK index langflow-agent-*

Current Status:

현재 환경에서 검증 성공

Primary Use:

PMS SYSTEM 실행만으로 DPAPI 복호화가 된 것처럼 과장하지 않고, AWS control-plane으로 확보한 win01 local Administrator 컨텍스트를 별도 증거로 분리

검증 요약

이 로그는 dc_cred.xml 복호화 성공의 컨텍스트를 명확히 분리하기 위한 SB-07 보강 증거다.

확인된 흐름:

PMS patch compromise
-> win01 SYSTEM execution
-> dc_cred.xml discovered
-> SYSTEM Import-Clixml failed
-> AWS ec2:GetPasswordData with EC2 private key
-> win01 local Administrator WinRM/RDP context
-> local Administrator Import-Clixml succeeds
-> HANGUEL\Administrator credential object
-> DC WinRM/C$ access succeeds

대표 event.action

aws_get_password_data_win01_local_admin_verified
win01_local_admin_context
dc_cred_xml_imported
dc_winrm_whoami
dc_c_admin_share_access

주요 필드

필드	의미	예시
`aws_get_password_data.password_data_present`	EC2 password data 복호화 결과 존재 여부	`true`
`aws_get_password_data.password_data_length`	평문을 출력하지 않고 길이만 기록	`32`
`plaintext_printed`	비밀값 출력 여부	`false`
`win01_local_admin_context.whoami`	win01에서 확보된 local Administrator 컨텍스트	`ec2amaz-n2ogtl7\administrator`
`win01_local_admin_context.import_clixml_succeeded`	local Administrator 컨텍스트에서 `dc_cred.xml` 복호화 성공 여부	`true`
`win01_local_admin_context.credential_username`	복호화된 credential object의 사용자명	`HANGUEL\Administrator`
`win01_local_admin_context.dc_winrm_succeeded`	해당 credential object로 DC WinRM whoami 성공 여부	`true`
`win01_local_admin_context.dc_c_admin_share_succeeded`	해당 credential object로 `\\10.60.20.10\C$` 접근 성공 여부	`true`

증거 경계

확인됨: AWS credential과 EC2 private key로 GetPasswordData 결과가 존재했고, win01 local Administrator WinRM 컨텍스트가 확인됐다.
확인됨: local Administrator 컨텍스트에서 C:\ProgramData\HanguelPMS\dc_cred.xml의 Import-Clixml이 성공했다.
확인됨: 복호화된 HANGUEL\Administrator credential object로 DC WinRM whoami 및 C$ 접근이 성공했다.
확인됨: 스크립트 출력은 password 값과 IAM secret을 출력하지 않고, 존재 여부/길이/성공 여부만 남긴다.
주의: 이것은 DPAPI 우회가 아니다. DPAPI 보호 범위와 일치하는 local Administrator 사용자 컨텍스트를 AWS control-plane을 통해 확보한 것이다.

실행 예시

python .\AD-JBOSS\verify_aws_control_plane_win01_admin.py

선택적으로 HTTP collector에 redacted event를 보낼 수 있다.

python .\AD-JBOSS\verify_aws_control_plane_win01_admin.py --collector-url http://10.60.40.10:8088

Analyst Hunting KQL

collector로 전송한 경우:

campaign.id:"SB-07" and event.action:"aws_get_password_data_win01_local_admin_verified"

campaign.id:"SB-07" and event.action:("aws_get_password_data_win01_local_admin_verified" or "win01_local_admin_context" or "dc_cred_xml_imported" or "dc_winrm_whoami" or "dc_c_admin_share_access")

run.id:"SB07-AWS-BRIDGE-20260531135457" and log.id:"HAC-002"

campaign.id:"SB-07" and data.win01_local_admin_context.dc_winrm_succeeded:true and data.win01_local_admin_context.dc_c_admin_share_succeeded:true

현재 검증 결과

확인됨: 2026-05-31 검증에서 langflow-agent-2026.05.31에 HAC-002 원본 이벤트 5건이 적재됐다.
확인됨: 같은 run id에서 hanguel-alerts-2026.05.31에 sb07-credential-dc-access-002와 sb07-aws-control-plane-local-admin-022 alert가 생성됐다.