Home / OZZY PMS Chain / Campaign Logs / HAD-002

HAD-002 DC Loader and Dump Artifact Evidence

Log ID:

HAD-002

Source:

hanguel-dc01

Representative Path:

C:\Windows\Temp\hgl_loader.exe, hgl_payload.enc, hgl_run.cmd, hgl_diag.bin

Collection:

Hanguel AD Agent artifact collector summary

Current Status:

산출물 존재는 실습 중 확인됨. 상세 ELK evidence는 Page 3 캡처 대상

Primary Use:

DC에 loader chain 파일과 dump-like artifact가 존재했음을 확인

공격 행위 요약

win01에서 DC C$ 접근과 WinRM 실행이 가능해진 뒤, DC C:\Windows\Temp에 loader chain 파일이 배치된다. 이 로그는 파일 원본을 ELK로 보내는 것이 아니라 경로, 크기, 해시, 생성 여부 같은 요약 정보만 전송한다.

주요 파일

C:\Windows\Temp\hgl_loader.exe
C:\Windows\Temp\hgl_payload.enc
C:\Windows\Temp\hgl_run.cmd
C:\Windows\Temp\hgl_diag.bin

주요 필드

필드	의미	예시
`file.path`	확인된 artifact 경로	`C:\Windows\Temp\hgl_diag.bin`
`file.size`	파일 크기	`131396273`
`message`	artifact collector 요약 원문	`C:\Windows\Temp\hgl_loader.exe exists`
`event.action`	정규화된 보조 행위	`dump_file_artifact_found`
`evidence.confidence`	증거 수준	`observed`

커버하는 Techniques Used

Technique	Mapping Reason
T1620 Reflective Code Loading	loader와 encrypted payload 배치를 확인한다.
T1003.001 LSASS Memory	dump-like artifact의 존재를 확인한다.

원본 아티팩트 기준 탐색 포인트

관찰할 행위	원본 필드/문자열	분석 의미
loader 파일 배치	`C:\Windows\Temp\hgl_loader.exe`	DC에 loader wrapper가 배치됐는지 확인
encrypted payload 배치	`C:\Windows\Temp\hgl_payload.enc`	복호화 전 payload가 디스크에 남았는지 확인
wrapper script 배치	`C:\Windows\Temp\hgl_run.cmd`	task가 실제 실행한 command wrapper 확인
dump-like 산출물	`C:\Windows\Temp\hgl_diag.bin`	LSASS dump로 분석된 파일 존재 여부 확인
파일 metadata	`file.size`, `file.hash.sha256`	복사/생성된 파일 동일성 검증

Analyst Hunting KQL

파일 아티팩트는 파일명과 경로를 기준으로 먼저 탐색한다. log.id는 수집기가 생성한 보조 식별자이므로 1차 조건으로 고정하지 않는다.

host.name:"hanguel-dc01" and (file.path:*\\hgl_loader.exe or file.path:*\\hgl_payload.enc or file.path:*\\hgl_run.cmd or file.path:*\\hgl_diag.bin)

host.name:"hanguel-dc01" and message:(*hgl_loader.exe* or *hgl_payload.enc* or *hgl_run.cmd* or *hgl_diag.bin*)

host.name:"hanguel-dc01" and file.path:*\\Windows\\Temp\\hgl*

host.name:"hanguel-dc01" and message:(*"C:\\Windows\\Temp\\hgl_loader.exe"* or *"C:\\Windows\\Temp\\hgl_payload.enc"* or *"C:\\Windows\\Temp\\hgl_run.cmd"* or *"C:\\Windows\\Temp\\hgl_diag.bin"*)

Normalized Pivot

log.id:"HAD-002" or data.path:*hgl_diag.bin*