Home / OZZY PMS Chain / Campaign Logs / HAD-006

HAD-006 DC Amcache Artifact

Log ID:

HAD-006

Source:

hanguel-dc01

Representative Path:

C:\Windows\AppCompat\Programs\Amcache.hve

Collection:

Hanguel AD Agent artifact collector summary

Current Status:

ELK collector 요약 이벤트 기준 확인됨. raw hive 단순 문자열 검색만으로 항상 재현되는 증거로 단정하지 않음

Primary Use:

hgl_loader.exe가 Windows application compatibility inventory에 남았는지 확인

공격 행위 요약

Amcache는 실행 파일 metadata와 application compatibility inventory를 제공하는 Windows 포렌식 아티팩트다. SB-07에서는 C:\Windows\Temp\hgl_loader.exe 경로와 pe64_amd64 정황을 확인하는 보조 증거로 사용한다.

관측된 내용

아래 값은 HAD-006 collector summary와 Page 3 집계 기준의 관측값이다. 원본 Amcache.hve는 바이너리 hive이므로 단순 ASCII/Unicode 문자열 검색만으로 같은 결과가 나오지 않을 수 있으며, 최종 재검증은 전용 Amcache parser 또는 collector JSONL 원문으로 수행한다.

hgl_loader.exe
c:\windows\temp\hgl_loader.exe
pe64_amd64
05/22/2026 03:58:44

원본 아티팩트 기준 탐색 포인트

관찰할 행위	원본 필드/문자열	분석 의미
Amcache hive 확보	`C:\Windows\AppCompat\Programs\Amcache.hve`	Windows compatibility inventory 원본 위치 확인
loader 경로 context	`hgl_loader.exe`, `C:\Windows\Temp\hgl_loader.exe`	loader 파일이 inventory에 요약됐는지 확인
PE architecture	`pe64_amd64`	loader binary architecture 정황
collector boundary	`message`, `file.path`, `registry.hive.path`	ELK summary와 원본 hive parser 결과를 분리

주요 필드

필드	의미	예시
`registry.hive.path`	hive 경로	`C:\Windows\AppCompat\Programs\Amcache.hve`
`file.path`	loader 경로	`C:\Windows\Temp\hgl_loader.exe`
`message`	Amcache summary 또는 hive string context	`pe64_amd64 hgl_loader.exe`
`event.action`	정규화된 보조 행위	`amcache_loader_artifact_found`
`evidence.confidence`	증거 수준	`observed`

Analyst Hunting KQL

Amcache는 hive 원문을 그대로 ELK에 넣기보다 경로/architecture/context 요약으로 수집한다. 분석가는 loader 파일명과 Amcache hive 경로를 함께 찾는다.

host.name:"hanguel-dc01" and message:(*Amcache.hve* and *hgl_loader.exe*)

host.name:"hanguel-dc01" and message:(*hgl_loader.exe* and *pe64_amd64*)

host.name:"hanguel-dc01" and file.path:*\\Windows\\Temp\\hgl_loader.exe

Normalized Pivot

log.id:"HAD-006" and event.action:"amcache_loader_artifact_found"