Kant's IT/Issue on IT&Security

COM 객체를 악용한 파일리스 악성코드 및 측면 이동 기법 분석

Kant Jo 2025. 5. 7. 19:31

Hackers Exploit COM Objects for Fileless Malware and Lateral Movement

 

  • 개요
    • 보안 연구원 Dylan Tran과 Jimmy Bayne은 Windows의 COM(Component Object Model) 객체를 악용한 새로운 파일리스(fileless) 측면 이동(lateral movement) 기법을 공개
    • 이 기법은 Google Project Zero의 James Forshaw 연구를 기반으로 하며, .NET 코드가 서버 측 DCOM(Distributed COM) 프로세스 내에서 실행되도록 유도
    • 공격자는 COM 객체 중 StdFont를 탈취해 레지스트리 조작을 통해 System.Object 인스턴스를 생성, 파일을 디스크에 저장하지 않고 악성 .NET 어셈블리를 로딩
  • 기술적 공격 흐름
    • 공격자는 레지스트리를 조작하여 StdFont CLSID를 System.Object로 재지정
    • COM 서버는 이를 통해 .NET 기반 오브젝트를 실행하게 되며, 악성코드가 DCOM 컨텍스트 내에서 메모리상 실행
    • IDispatch 인터페이스를 활용하여 .NET 리플렉션(Reflection)을 통해 외부 어셈블리 로딩
    • ForsHops.exe 도구는 원격 시스템 연결, 레지스트리 수정, 악성코드 실행을 자동화하며 PPL(Protected Process Light) 등 보호된 프로세스를 악용 가능
  • 악성 도구: ForsHops.exe
    • COM 객체와 연계된 레지스트리 키 조작을 자동화
    • .NETFramework 키 내 OnlyUseLatestCLR, AllowDCOMReflection 값을 조작
    • svchost.exe 프로세스의 WaaSMedicSvc 서비스 내에서 .NET 코드가 실행되도록 유도
    • 단점: COM 객체의 수명 주기가 종료되면 페이로드도 종료됨 (지속성 부족)
  • 주요 IOC (Indicators of Compromise)
    • 레지스트리 조작 경로
      • HKEY_CLASSES_ROOT\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851} (StdFont)
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\OnlyUseLatestCLR = 1
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\AllowDCOMReflection = 1
    • 실행 파일명
      • ForsHops.exe
    • 의심스러운 CLR 로딩 위치
      • svchost.exeWaaSMedicSvc 서비스에서 .NET CLR 로딩 이벤트
  • 탐지 시그니처 (YARA Rule)
  • rule ForsHops_Executable { meta: description = "Detects ForsHops.exe used in COM fileless attack" author = "Bayne & Tran" date = "2025-03-26" strings: $str1 = "ForsHops.exe" $clr = "OnlyUseLatestCLR" $reflect = "AllowDCOMReflection" $clsid = "0BE35203-8F91-11CE-9DE3-00AA004BB851" condition: all of them }
  • 보안 권고
    • WaaSMedicSvc가 포함된 svchost.exe 내에서의 .NET CLR 로딩 이벤트 모니터링
    • StdFont CLSID에 대한 레지스트리 변경 탐지 및 감사
    • .NETFramework 하위 키에서 DCOM 관련 설정값 변경 탐지
    • ForsHops.exe 또는 유사한 파일명을 포함한 실행파일 탐지
    • 호스트 기반 방화벽을 이용하여 DCOM 에페멀(ephemeral) 포트 접근 제한
    • EDR 및 SIEM을 통한 파일리스 행동 분석 탐지 시나리오 수립
  • 결론
    • Windows COM/DCOM 구조의 보안 모니터링 강화 및 레지스트리 변경 탐지 규칙 적용
    • 파일리스 공격 및 .NET 리플렉션 기반 행위 탐지 역량을 SIEM에 반영
    • 공격자가 시스템 내 정상 프로세스를 악용하는 경향에 대응하기 위한 메모리 기반 탐지 강화
    • 보안 도구에 해당 YARA 시그니처 통합 및 침해지표(IOC) 기반 스레드 헌팅 수행
저작자표시 비영리 변경금지 (새창열림)

'Kant's IT > Issue on IT&Security' 카테고리의 다른 글

FamousSparrow, SparrowDoor 백도어 변종으로 미국·멕시코 기관 공격  (1) 2025.05.07
IOCONTROL 악성코드 분석: 중요 인프라 제어권 탈취 및 원격 접근 위협  (0) 2025.05.07
RedCurl 그룹, QWCrypt 랜섬웨어로 사이버 첩보에서 금전 탈취로 전환  (0) 2025.05.07
Operation ForumTroll: Google Chrome 제로데이(CVE-2025-2783)를 악용한 APT 공격 분석  (0) 2025.05.07
암호화 키를 활용한 IoT 및 AI 기기 보안 강화 전략  (0) 2025.05.07

'Kant's IT/Issue on IT&Security'의 다른글

  • 현재글COM 객체를 악용한 파일리스 악성코드 및 측면 이동 기법 분석

관련글

티스토리툴바