Home / OZZY PMS Chain / Campaign Logs / HAW-001

HAW-001 Win01 Hanguel AD Agent Enriched Event

Log ID:

HAW-001

Source:

hanguel-win01

Representative Path:

C:\ProgramData\HanguelADAgent\logs\*.jsonl

Collection:

Hanguel AD Agent PowerShell/Python collector -> SOC HTTP/Logstash -> hanguel-ad-agent-*

Current Status:

수집 체계 구현 및 ELK 이벤트 확인

Primary Use:

win01에서 발생한 PMS patch 후속 행위를 하나의 정규화 이벤트 흐름으로 추적

공격 행위 요약

PMS Agent가 변조된 patch를 SYSTEM으로 실행하면 win01에서 권한, 네트워크, DNS, 도메인, DC 서비스 접근성을 확인하는 이벤트가 발생한다. 이 로그는 원본 명령 결과를 요약하고 event.action과 ATT&CK technique을 붙여 SIEM에서 바로 pivot할 수 있게 한다.

주요 필드

필드	의미	예시
`campaign.id`	캠페인 ID	`SB-07`
`log.id`	로그 소스 ID	`HAW-001`
`message`	collector가 요약한 원본 명령 결과	`nltest /dsgetdc:hanguel.local`
`process.command_line`	원본 명령 또는 script command	`whoami /all`, `ipconfig /all`, `nltest /dsgetdc`
`event.action`	정규화된 보조 행위	`domain_controller_discovery`
`hanguel.classification`	분류	`normal`, `suspicious`, `attack`
`threat.technique.id`	MITRE technique	`T1482`

대표 event.action

pms_patch_executed
system_user_context
system_ipconfig
domain_controller_discovery
dc_srv_dns_lookup
dc_port_probe_445
dc_port_probe_5985
dc_cred_xml_discovered
dc_winrm_whoami
dc_c_admin_share_access

커버하는 Techniques Used

Technique	Mapping Reason
T1053.005 Scheduled Task	PMS Agent scheduled task 실행 흐름을 기록한다.
T1082 System Information Discovery	`whoami`, hostname, IP/DNS 결과를 요약한다.
T1482 Domain Trust Discovery	`nltest`, AD SRV lookup 결과를 기록한다.
T1552 Unsecured Credentials	`dc_cred.xml` artifact 발견 이벤트를 기록한다.
T1021.006 WinRM	DC WinRM 접근 검증 또는 emulation 이벤트를 기록한다.

원본 로그 기준 탐색 포인트

관찰할 행위	원본 필드/문자열	분석 의미
PMS patch 실행 컨텍스트	`whoami`, `nt authority\system`	win01 PMS Agent가 SYSTEM으로 실행됐는지 확인
네트워크/DNS 구성 확인	`ipconfig /all`, `DNS Servers 10.60.20.10`	win01이 AD DNS를 사용 중인지 확인
DC discovery	`nltest /dsgetdc:hanguel.local`, `_ldap._tcp.dc._msdcs`	DC 이름/IP 확인 행위 추적
DC 서비스 접근성	`Test-NetConnection 10.60.20.10 -Port 445/5985`	SMB/WinRM 후속 접근 가능성 확인
credential artifact 발견	`C:\ProgramData\HanguelPMS\dc_cred.xml`	다음 단계 credential 사용의 출발점 확인

Analyst Hunting KQL

이 로그는 원본 Windows Event Log가 아니라 Hanguel AD Agent가 명령 결과를 요약한 enriched event다. 분석가는 먼저 명령어, DC IP, credential artifact 경로 같은 행위 단서를 기준으로 검색하고, 이후 event.action으로 좁힌다.

host.name:"hanguel-win01" and message:(*whoami* or *ipconfig* or *nltest* or *Resolve-DnsName* or *Test-NetConnection*)

host.name:"hanguel-win01" and message:(*"10.60.20.10"* or *"hanguel-dc01"* or *"hanguel.local"*)

host.name:"hanguel-win01" and message:*"C:\\ProgramData\\HanguelPMS\\dc_cred.xml"*

host.name:"hanguel-win01" and message:(*"nt authority\\system"* or *"TcpTestSucceeded : True"* or *"_ldap._tcp.dc._msdcs.hanguel.local"*)

Normalized Pivot

log.id:"HAW-001" and campaign.id:"SB-07"