Home / OZZY PMS Chain / Campaign Logs / HAW-004

HAW-004 Windows Security Process Creation Log

Log ID:

HAW-004

Source:

hanguel-win01, hanguel-dc01

Representative Path:

Windows Security log Event ID 4688

Collection:

Windows Event Log collector; process creation audit policy 필요

Current Status:

collector logic 존재. 실제 coverage는 4688 command-line auditing 설정 여부에 의존

Primary Use:

comsvcs/rdrleakdiag/raw dump 시도, loader 실행, suspicious command-line 확인

공격 행위 요약

Defender가 차단한 LotL dump 시도와 loader 실행을 process creation 로그에서 확인할 수 있다. 단, Security 4688은 audit policy와 command line logging 설정이 없으면 상세한 command line이 부족할 수 있다.

주요 event.action

comsvcs_lsass_dump_attempt
rdrleakdiag_lsass_dump_attempt
loader_execution_observed

주요 필드

필드	의미	예시
`event.code`	Windows Security event ID	`4688`
`process.executable`	실행 파일	`rundll32.exe`, `rdrleakdiag.exe`, `hgl_loader.exe`
`process.command_line`	명령줄	`comsvcs.dll MiniDump`
`winlog.event_data.NewProcessName`	Security 4688 원본 실행 파일	`C:\Windows\System32\rundll32.exe`
`winlog.event_data.CommandLine`	Security 4688 원본 command line	`comsvcs.dll MiniDump ...`
`user.name`	실행 계정	`SYSTEM`

커버하는 Techniques Used

Technique	Mapping Reason
T1003.001 LSASS Memory	LSASS dump 시도 도구와 command line을 확인한다.
T1620 Reflective Code Loading	loader 프로세스 실행 자체를 확인한다.
T1027 Obfuscated Files or Information	encrypted payload와 loader 조합의 실행 흐름을 보조한다.

원본 로그 기준 탐색 포인트

관찰할 행위	원본 필드/문자열	분석 의미
comsvcs MiniDump 시도	`NewProcessName:rundll32.exe`, `CommandLine:comsvcs.dllMiniDump*`	Defender 차단 전 LotL dump 시도 확인
rdrleakdiag 사용	`NewProcessName:rdrleakdiag.exe`	Windows 정상 도구 기반 dump 시도 확인
loader 실행	`NewProcessName:*hgl_loader.exe`	C++ loader가 실제 프로세스로 생성됐는지 확인
command line 부재	`CommandLine` 비어 있음	4688 command line audit 설정 미흡 가능성으로 분리

Analyst Hunting KQL

Security 4688은 process creation 원본 필드로 먼저 검색한다. command line auditing이 꺼져 있으면 winlog.event_data.CommandLine이 비어 있을 수 있으므로 process.executable, NewProcessName, message를 함께 본다.

winlog.channel:"Security" and event.code:4688 and winlog.event_data.NewProcessName:(*\\rundll32.exe or *\\rdrleakdiag.exe or *\\hgl_loader.exe)

winlog.channel:"Security" and event.code:4688 and winlog.event_data.CommandLine:(*comsvcs.dll* or *MiniDump* or *rdrleakdiag* or *hgl_loader* or *hgl_payload*)

winlog.channel:"Security" and event.code:4688 and message:(*lsass* or *MiniDump* or *hgl_loader* or *rdrleakdiag*)

winlog.channel:"Security" and event.code:4688 and winlog.event_data.NewProcessName:*\\cmd.exe and winlog.event_data.CommandLine:*hgl_run.cmd*

Normalized Pivot

log.id:"HAW-004" and event.action:("comsvcs_lsass_dump_attempt" or "rdrleakdiag_lsass_dump_attempt" or "loader_execution_observed")