HAD-004 DC Loader Run Log
공격 행위 요약
hgl_loader_run.log는 Windows Event Log가 아니다. hgl_run.cmd가 loader stdout/stderr를 파일로 리다이렉션하면서 생성한 커스텀 실행 로그다. 따라서 manual mapping 직접 이벤트가 아니라 loader 실행 산출물로 분리해 설명해야 한다.
관측된 주요 문자열
encrypted_size=104960
decrypted_magic=4d 5a
entry=0x...
done
EXIT=-1073741819
hgl_diag.bin 131,396,273 bytes
주요 필드
| 필드 | 의미 | 예시 |
|---|
data.decrypted_magic | 복호화 후 PE signature | 4d 5a |
data.entry | entry point 출력 | 0x... |
data.exit_code | loader 종료 코드 | -1073741819 |
file.path | loader run log 경로 | C:\Windows\Temp\hgl_loader_run.log |
message | loader stdout/stderr 요약 | decrypted_magic=4d 5a |
event.action | 정규화된 보조 행위 | loader_execution_log_found |
커버하는 Techniques Used
원본 파일 기준 탐색 포인트
| 관찰할 행위 | 원본 필드/문자열 | 분석 의미 |
|---|
| encrypted payload 입력 | encrypted_size=... | loader가 암호화 payload를 읽었는지 확인 |
| PE 복호화 정황 | decrypted_magic=4d 5a | 복호화 결과가 PE signature로 보이는지 확인 |
| entry point 호출 | entry=0x... | loader가 수동 매핑 후 entry point로 넘어간 정황 |
| 비정상 종료 | EXIT=-1073741819, 0xc0000005 | access violation 계열 crash와 Application Error를 연결 |
| dump 산출물 listing | hgl_diag.bin ... bytes | loader 실행 후 산출물 존재 여부 확인 |
Analyst Hunting KQL
이 로그는 Windows Event Log가 아니라 loader wrapper가 만든 파일이다. 따라서 파일 경로와 원문 문자열을 기준으로 먼저 탐색한다.
host.name:"hanguel-dc01" and file.path:*\\hgl_loader_run.log
host.name:"hanguel-dc01" and message:(*decrypted_magic* or *encrypted_size* or *entry=* or *EXIT=* or *hgl_diag.bin*)
host.name:"hanguel-dc01" and message:(*"4d 5a"* or *"hgl_diag.bin"* or *"Access violation"*)
host.name:"hanguel-dc01" and file.path:*\\hgl_loader_run.log and message:(*done* or *EXIT=*)
Normalized Pivot
event.action:"loader_execution_log_found" and data.message_excerpt:*decrypted_magic*
