Home / OZZY PMS Chain / Campaign Logs / HAD-007

HAD-007 DC ShimCache AppCompatCache Artifact

Log ID:

HAD-007

Source:

hanguel-dc01

Representative Path:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Collection:

Hanguel AD Agent artifact collector summary

Current Status:

ELK에서 이벤트 확인됨

Primary Use:

AppCompatCache binary value 안의 hgl_loader.exe 경로 참조 확인

공격 행위 요약

ShimCache/AppCompatCache는 실행 또는 실행 가능 파일 참조 흔적을 제공한다. OS 버전에 따라 실행 시각/실행 여부 해석이 제한되므로, 단독 증거가 아니라 Amcache, Application Error, Task XML, USN Journal과 함께 봐야 한다.

관측된 내용

C:\Windows\Temp\hgl_loader.exe

원본 아티팩트 기준 탐색 포인트

관찰할 행위	원본 필드/문자열	분석 의미
AppCompatCache value 확인	`HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache`	Windows compatibility cache 원본 위치 확인
loader path context	`C:\Windows\Temp\hgl_loader.exe`	DC에서 loader 경로가 cache에 남았는지 확인
실행 여부 한계	OS별 ShimCache 해석 차이	단독으로 실행 시각/실행 여부를 확정하지 않음
교차 검증	HAD-005, HAD-008, HAD-009	crash, task, USN과 묶어 실행 정황 강화

주요 필드

필드	의미	예시
`registry.path`	registry value 경로	`...\AppCompatCache`
`data.context`	문자열 주변 context	redacted context
`message`	AppCompatCache summary 또는 string context	`C:\Windows\Temp\hgl_loader.exe`
`event.action`	정규화된 보조 행위	`shimcache_loader_artifact_found`

Analyst Hunting KQL

ShimCache/AppCompatCache는 실행 여부를 단독 확정하지 않고, 경로 참조 context를 찾는 용도로 사용한다.

host.name:"hanguel-dc01" and message:(*AppCompatCache* and *hgl_loader.exe*)

host.name:"hanguel-dc01" and registry.path:*AppCompatCache* and message:*C:\\Windows\\Temp\\hgl_loader.exe*

host.name:"hanguel-dc01" and message:*"C:\\Windows\\Temp\\hgl_loader.exe"*

host.name:"hanguel-dc01" and message:(*ShimCache* or *AppCompatCache*) and message:*Windows\\Temp*

Normalized Pivot

log.id:"HAD-007" and event.action:"shimcache_loader_artifact_found"