Home / OZZY PMS Chain / Campaign Logs / HAD-005

HAD-005 DC Application Error and WER Event

Log ID:

HAD-005

Source:

hanguel-dc01

Representative Path:

Windows Logs > Application, Event ID 1000/1001

Collection:

Hanguel AD Agent collector -> hanguel-ad-agent-*

Current Status:

ELK에서 이벤트 확인됨

Primary Use:

hgl_loader.exe가 실제 프로세스로 실행됐고 crash가 발생했음을 Windows 원본 로그로 확인

공격 행위 요약

Application Error/WER 이벤트는 loader가 실행됐다는 강한 정황이다. 특히 Faulting module name: unknown, Exception code: 0xc0000005는 메모리 상 코드나 비정상 매핑 영역에서 예외가 발생했을 가능성을 시사한다. 단독으로 manual mapping을 확정하지는 않는다.

관측된 내용

Faulting application name: hgl_loader.exe
Faulting module name: unknown
Exception code: 0xc0000005
Faulting application path: C:\Windows\Temp\hgl_loader.exe

원본 로그 기준 탐색 포인트

관찰할 행위	원본 필드/문자열	분석 의미
loader crash	Event ID `1000`, `Faulting application name: hgl_loader.exe`	loader 프로세스 실행과 crash 확인
unknown module	`Faulting module name: unknown`	메모리 매핑/비정상 module 정황. 단독 확정 증거는 아님
access violation	`Exception code: 0xc0000005`	`EXIT=-1073741819`와 연결 가능한 crash code
WER report	Event ID `1001`	crash report 생성 여부 확인

주요 필드

필드	의미	예시
`event.code`	Application Error/WER 이벤트 ID	`1000`, `1001`
`process.name`	faulting application	`hgl_loader.exe`
`error.code`	exception code	`0xc0000005`
`message`	Application/WER 원본 메시지	`Faulting application name: hgl_loader.exe`
`event.action`	정규화된 보조 행위	`application_loader_crash_observed`

Analyst Hunting KQL

Application Error/WER는 Windows 원본 채널, Event ID, faulting application 문자열을 기준으로 찾는다.

winlog.channel:"Application" and event.code:(1000 or 1001) and message:*hgl_loader.exe*

winlog.channel:"Application" and event.code:1000 and message:(*"Faulting application name: hgl_loader.exe"* or *"Faulting module name: unknown"* or *"Exception code: 0xc0000005"*)

host.name:"hanguel-dc01" and message:(*hgl_loader.exe* and *0xc0000005*)

Normalized Pivot

log.id:"HAD-005" and event.action:"application_loader_crash_observed"