🧪 COM 기술로 가능한 보안 우회!? ForsHops.exe로 알아보는 최신 사이버 보안 위협

요즘 사이버 보안 연구자들 사이에서 뜨거운 주제가 있어요!
바로 Windows의 COM/DCOM 기술을 이용한 공격 기법인데요,
이번에는 Google Project Zero의 James Forshaw와 여러 연구자들의 실험을 바탕으로 등장한 놀라운 사례,
ForsHops.exe를 소개해볼게요. 🖥️✨

---

COM이 뭐야? 🤔

먼저 간단하게 개념부터 짚고 갈게요.
COM(Component Object Model)은 90년대부터 Windows에서 쓰이고 있는 기술로,
프로그램끼리 서로 다른 언어로 만들어져 있어도 데이터를 주고받고,
기능을 호출할 수 있도록 해주는 일종의 인터페이스 약속이에요.

DCOM(Distributed COM)은 이 COM을 네트워크로 확장한 버전으로,
다른 컴퓨터에서 COM 객체를 호출할 수 있게 해주죠.

이 기술이 편리한 만큼 공격자가 악용할 수 있는 지점도 많아졌는데요,
최근에는 이 구조를 활용해서 보안 보호 프로세스(PPL)를 우회하거나,
파일 없이 원격에서 악성코드를 실행하는 기법이 공개됐답니다. 😱

---

💥 ForsHops.exe는 뭘 하는 걸까?

ForsHops.exe는 간단히 말하면, COM 객체를 낚시해서(.NET System.Object로 바꾸기)
서버 측에서 .NET 코드를 실행시키는 툴이에요. 그것도 파일 없이(fileless)요!

이걸 가능하게 하는 핵심은 바로 WaaSMedicSvc라는 Windows 서비스의 COM 클래스 WaaSRemediation입니다.
이 객체는 IDispatch 인터페이스를 노출하고 있어서,
공격자가 이 인터페이스를 이용하면 런타임에 원하는 메서드를 호출할 수 있어요. 🙃

그리고 또 중요한 포인트는 COM 객체 중 StdFont라는 걸 레지스트리 TreatAs 키를 조작해서
.NET의 System.Object로 바꿀 수 있다는 점이에요.
이후 .NET의 강력한 리플렉션 기능으로 Assembly.Load까지 호출하면?
바로 원격 코드 실행 성공!

---

🚀 진짜 무서운 점은?

이 기법은 단순한 로컬 권한 상승을 넘어서 다른 컴퓨터로의 lateral movement가 가능하다는 점이 무서워요.
공격자가 대상 시스템의 레지스트리만 조작하면, CoCreateInstanceEx를 통해 COM 객체를 원격에서 생성할 수 있고,
그걸로 .NET 코드를 실행할 수 있거든요.

그리고 이게 WDAC(Windows Defender Application Control) 같은 보안 정책도 우회할 수 있어서,
기업 보안팀 입장에서는 진짜 골치 아픈 시나리오죠. 😓

---

🛡️ 방어할 수는 없을까?

물론 방법이 있어요! 아래 내용을 참고해보세요.

🔍 감지 포인트:

• svchost.exe에서 CLR(.NET) 모듈이 로드되는지 감시
• HKLM\...\TreatAs 레지스트리 조작 탐지
• AllowDCOMReflection과 OnlyUseLatestCLR 값 체크

🔥 예방 방법:

• DCOM 포트를 방화벽으로 제한하기
• 불필요한 COM 객체 등록 제거
• TreatAs 레지스트리 키에 대한 접근 제어 강화

🧠 그리고 위협 탐지를 위한 YARA 룰도 공유되었어요!
이건 ForsHops.exe가 사용하는 고유 문자열로 탐지할 수 있도록 구성된 룰이랍니다.

---

📌 TL;DR

ForsHops.exe는 Windows의 COM/DCOM 기능을 악용해 파일 없이 원격에서 .NET 코드를 실행하는 공격 도구예요.
레지스트리와 COM 객체의 구조적 허점을 이용해 보안 정책 우회와 lateral movement까지 가능하게 만들죠. 🧨

이제는 예전처럼 단순히 EXE 실행만 막아서 되는 시대가 아니에요.
이런 고급 공격을 막기 위해선 시스템 아키텍처에 대한 깊은 이해와 감시 체계 구축이 꼭 필요하답니다. 🧠💻