Microsoft Defender Kini Bisa Deteksi Penyalahgunaan RPC oleh Hacker

bacatutorial /

Windows DefenderMicrosoft kembali meningkatkan kemampuan keamanan pada Microsoft Defender dengan menambahkan fitur baru yang mampu memantau, mendeteksi, dan menghentikan serangan siber yang memanfaatkan Remote Procedure Call (RPC). Protokol inti Windows ini sudah lama menjadi sasaran favorit para hacker untuk melakukan pergerakan lateral (lateral movement), pencurian kredensial, hingga eskalasi hak akses di lingkungan perusahaan.

Baca Juga : Microsoft Defender Perluas Peringatan Klik URL ke Microsoft Teams

RPC sendiri merupakan sebuah protokol yang memungkinkan fungsi atau layanan yang berada di proses lain, bahkan di perangkat yang berbeda, dijalankan seolah-olah berada di sistem lokal. Karena banyak komponen penting Windows dan Active Directory bergantung pada RPC, protokol ini menjadi salah satu permukaan serangan yang paling menarik bagi pelaku ancaman.

Beberapa teknik serangan yang umum memanfaatkan RPC antara lain:

  • Lateral Movement, yaitu membuat tugas atau layanan dari jarak jauh dan menjalankan Windows Management Instrumentation (WMI) melalui antarmuka RPC.
  • Credential Theft, seperti serangan DCsync yang menyalahgunakan panggilan replikasi Active Directory melalui RPC. Selain itu, alat seperti SecretsDump juga memanfaatkan antarmuka Windows Remote Registry untuk mencuri informasi sensitif seperti SAM dan LSA Secrets.
  • Privilege Escalation, di mana pelaku memaksa server melakukan autentikasi ke sistem yang mereka kendalikan melalui antarmuka RPC yang terlihat normal.
  • Discovery, yaitu mengumpulkan informasi terkait pengguna, sesi aktif, dan sumber daya jaringan menggunakan panggilan RPC. Teknik ini sering ditemukan pada alat seperti SharpHound.

Cara Kerja Fitur Audit RPC di Microsoft Defender

Selama ini, pemantauan lalu lintas RPC di tingkat jaringan cukup sulit dilakukan, terutama dalam skala besar. Tantangan menjadi lebih kompleks ketika protokol transport yang digunakan, seperti SMB3, sudah terenkripsi sehingga aktivitas RPC tidak dapat terlihat dengan jelas.

Untuk mengatasi masalah tersebut, tim riset dan pengembangan Microsoft Defender memperluas integrasi RPC dengan Windows Filtering Platform (WFP). Melalui peningkatan ini, Defender kini mampu melakukan pemantauan hingga tingkat OpNum, yaitu nomor fungsi spesifik yang dipanggil melalui RPC.

Dengan kemampuan tersebut, Defender tidak hanya mengetahui antarmuka RPC yang digunakan, tetapi juga dapat mengidentifikasi fungsi RPC yang dijalankan tanpa mengganggu lalu lintas jaringan yang normal.

Pemantauan difokuskan pada panggilan RPC jarak jauh yang masuk ke server, terutama aktivitas yang berasal dari pihak eksternal yang mencoba berinteraksi dengan antarmuka RPC yang terbuka. Sementara itu, panggilan RPC lokal maupun keluar dari sistem tidak termasuk dalam cakupan pemantauan.

Microsoft Defender juga secara dinamis memonitor operasi jarak jauh pada sejumlah layanan penting, seperti:

  • Remote Registry
  • Service Control Manager
  • Task Scheduler
  • Windows Management Instrumentation (WMI)

Deteksi Serangan yang Sudah Didukung

Deteksi Serangan yang Sudah Didukung

Saat ini fitur pemantauan RPC telah tersedia secara umum untuk perangkat workstation, sementara implementasi pada server dilakukan secara bertahap.

Microsoft mengungkapkan bahwa Defender kini sudah mampu mendeteksi berbagai aktivitas mencurigakan, di antaranya:

  • Serangan langsung menggunakan toolkit Impacket.
  • Pembuatan layanan jarak jauh yang mencurigakan.
  • Upaya pencurian LSA Secrets.
  • Aktivitas pengumpulan informasi pengguna dan sesi melalui RPC yang tidak biasa.
  • Serangan pemaksaan autentikasi (authentication coercion).

Tim keamanan juga dapat melakukan investigasi lebih lanjut melalui fitur Advanced Hunting dengan menggunakan tipe aksi InboundRemoteRpcCall pada tabel DeviceEvents.

Microsoft turut memperlihatkan contoh bagaimana analis keamanan dapat melacak aktivitas penyimpanan registry jarak jauh maupun pembuatan layanan dari jarak jauh yang sering dikaitkan dengan teknik pencurian kredensial dan pergerakan lateral menggunakan alat seperti Impacket.

Baca Juga : Microsoft Defender Salah Tandai Sertifikat DigiCert sebagai Malware

Dengan pembaruan ini, Microsoft Defender memberikan visibilitas yang jauh lebih mendalam terhadap salah satu jalur serangan yang paling sering disalahgunakan, namun selama ini sulit dipantau di lingkungan Windows. Langkah ini diharapkan dapat membantu tim keamanan mendeteksi ancaman lebih cepat dan merespons serangan sebelum berdampak lebih luas pada infrastruktur perusahaan.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *