Home / OZZY PMS Chain / Campaign Logs / HAD-003

HAD-003 DC Sysmon Operational Log

Log ID:

HAD-003

Source:

hanguel-dc01

Representative Path:

Microsoft-Windows-Sysmon/Operational

Collection:

Sysmon minimal config + Windows Event Log collector

Current Status:

BAS emulation으로 sysmon_lsass_process_access event.action은 검증됨. 실제 endpoint 원본 Sysmon Event ID 10의 hgl_loader.exe -> lsass.exe 관계는 아직 미확인

Primary Use:

loader가 LSASS를 열었는지 직접 ProcessAccess 증거 확보

공격 행위 요약

Windows 기본 로그만으로는 manual mapping 내부 단계나 LSASS handle open을 직접 보기 어렵다. Sysmon Event ID 10이 남으면 SourceImage = hgl_loader.exe, TargetImage = lsass.exe 관계를 직접 증명할 수 있다.

현재 ELK에는 BAS 검증용 sysmon_lsass_process_access 이벤트가 존재한다. 그러나 이 이벤트는 hanguel.test_runner:true가 붙은 emulation event이므로 실제 DC endpoint에서 발생한 Sysmon 원본 이벤트와 구분해야 한다.

주요 이벤트

Event ID	의미	SB-07에서 보는 이유
1	Process Create	`hgl_loader.exe` 실행 확인
7	Image Loaded	dump 관련 DLL 또는 unusual module load 확인
10	Process Access	`hgl_loader.exe -> lsass.exe` 직접 증거
11	File Create	`hgl_diag.bin` 생성 확인
25	Process Tampering	process hollowing/tampering 계열 정황

주요 필드

필드	의미	예시
`winlog.channel`	Sysmon 로그 채널	`Microsoft-Windows-Sysmon/Operational`
`event.code`	Sysmon Event ID	`1`, `7`, `10`, `11`, `25`
`winlog.event_data.SourceImage`	접근 주체 프로세스	`C:\Windows\Temp\hgl_loader.exe`
`winlog.event_data.TargetImage`	접근 대상 프로세스	`C:\Windows\System32\lsass.exe`
`winlog.event_data.GrantedAccess`	요청된 접근 권한	`0x1010`, `0x1fffff`
`winlog.event_data.TargetFilename`	생성된 파일 경로	`C:\Windows\Temp\hgl_diag.bin`

주요 event.action

sysmon_lsass_process_access
lsass_dump_file_created
sysmon_dump_related_image_load
loader_execution_observed

커버하는 Techniques Used

Technique	Mapping Reason
T1003.001 LSASS Memory	LSASS process access와 dump 파일 생성 이벤트를 확인한다.
T1620 Reflective Code Loading	loader 프로세스 실행과 suspicious memory execution 정황을 보조한다.

원본 로그 기준 탐색 포인트

관찰할 행위	원본 필드/문자열	분석 의미
loader 프로세스 생성	Event ID `1`, `Image:*hgl_loader.exe`	loader가 프로세스로 시작됐는지 확인
LSASS 접근	Event ID `10`, `SourceImage:hgl_loader.exe`, `TargetImage:lsass.exe`	직접 ProcessAccess 증거. 현재 실제 endpoint 증거는 미확인
dump 파일 생성	Event ID `11`, `TargetFilename:*hgl_diag.bin`	dump-like 파일 생성 시점 확인
dump 관련 DLL load	Event ID `7`, `ImageLoaded:*comsvcs.dll/dbghelp.dll/dbgcore.dll`	LotL 또는 dump helper DLL 사용 정황 확인
tampering 후보	Event ID `25`	process tampering 계열 정황. 발생 시 별도 검증 필요

Analyst Hunting KQL

Sysmon은 원본 Event ID와 event_data 필드를 기준으로 직접 탐색한다. event.action은 Hanguel collector가 붙인 요약값이므로 보조 피벗이다.

winlog.channel:"Microsoft-Windows-Sysmon/Operational" and event.code:10 and winlog.event_data.TargetImage:*\\lsass.exe

winlog.channel:"Microsoft-Windows-Sysmon/Operational" and event.code:10 and winlog.event_data.TargetImage:*\\lsass.exe and winlog.event_data.SourceImage:(*\\hgl_loader.exe or *\\rundll32.exe or *\\rdrleakdiag.exe)

winlog.channel:"Microsoft-Windows-Sysmon/Operational" and event.code:11 and winlog.event_data.TargetFilename:(*\\hgl_diag.bin or *\\lsass*.dmp or *\\lsass*.dump)

winlog.channel:"Microsoft-Windows-Sysmon/Operational" and event.code:7 and winlog.event_data.ImageLoaded:(*\\comsvcs.dll or *\\dbghelp.dll or *\\dbgcore.dll)

winlog.channel:"Microsoft-Windows-Sysmon/Operational" and event.code:1 and winlog.event_data.Image:*\\hgl_loader.exe

winlog.channel:"Microsoft-Windows-Sysmon/Operational" and event.code:25 and message:(*hgl_loader* or *lsass* or *hgl_diag*)

Evidence Boundary

event.action:"sysmon_lsass_process_access" and not hanguel.test_runner:true

위 쿼리에서 결과가 나와야 실제 endpoint ProcessAccess 직접 증거로 말할 수 있다. 현재 Page 3에서는 이 항목을 미확인으로 유지한다.