HTE-002 SB-07 Attack Traffic Emulation Event
공격 행위 요약
이 스크립트는 LSASS dump, loader 실행, Mimikatz 실행을 하지 않는다. 대신 PMS patch 실행, AD/DC discovery, credential artifact 발견, WinRM/C$ 접근 가능 상태를 이벤트로 만들어 SIEM 룰이 정상적으로 묶이는지 검증한다.
대표 event.action
attack_traffic_run_started
pms_patch_downloaded
pms_patch_executed
system_user_context
system_ipconfig
domain_controller_discovery
dc_srv_dns_lookup
dc_port_probe_445
dc_port_probe_5985
dc_cred_xml_discovered
dc_cred_xml_imported
dc_winrm_whoami
dc_c_admin_share_access
attack_traffic_run_completed주요 필드
| 필드 | 의미 | 예시 |
|---|---|---|
log.id | emulation log ID | HTE-002 |
hanguel.classification | 분류 | suspicious, attack |
event.action | 공격 흐름 행위 | dc_cred_xml_discovered |
threat.technique.id | MITRE technique | T1552 |
원본 로그 기준 검증 포인트
| 공격 emulation 단계 | 실제 원본 로그에서 대응되는 단서 | 검증 의미 |
|---|---|---|
| PMS patch 실행 | patch.ps1, nt authority\system, Task Scheduler | supply-chain 실행 흐름 검증 |
| AD/DC discovery | nltest, _ldap._tcp.dc._msdcs, 10.60.20.10 | 내부 AD 구조 파악 행위 검증 |
| credential artifact | C:\ProgramData\HanguelPMS\dc_cred.xml | credential file discovery 검증 |
| DC 접근 | Invoke-Command, \\10.60.20.10\C$, dc_winrm_whoami | 원격 관리/관리 공유 접근 검증 |
| loader staging | hgl_loader.exe, hgl_payload.enc, HanguelLoaderDiag | DC loader chain artifact 검증 |
Analyst Hunting KQL
이 로그는 안전한 BAS 검증 이벤트다. 실제 사고 분석에서는 아래처럼 공격 행위의 원본 단서를 먼저 찾고, emulation tag는 rule 검증에만 사용한다.
host.name:"hanguel-win01" and message:(*patch.ps1* or *nltest* or *dc_cred.xml* or *Invoke-Command* or *\\\\10.60.20.10\\C$*)host.name:("hanguel-win01" or "hanguel-dc01") and message:(*hgl_loader.exe* or *hgl_payload.enc* or *HanguelLoaderDiag* or *hgl_diag.bin*)message:(*patch.ps1* and *nt authority\\system*) or message:(*dc_cred.xml* and (*Invoke-Command* or *C$*))Validation Pivot
log.id:"HTE-002" or event.action:("pms_patch_executed" or "domain_controller_discovery" or "dc_cred_xml_discovered" or "dc_winrm_whoami" or "dc_c_admin_share_access")