Microsoft Defender đã mở rộng khả năng giám sát, phát hiện và ngăn chặn các cuộc tấn công lạm dụng Remote Procedure Call (RPC). RPC là một giao thức cốt lõi của Windows, từ lâu đã bị các tác nhân đe dọa khai thác cho mục đích di chuyển ngang, đánh cắp thông tin xác thực và leo thang đặc quyền. Đây là một điểm nóng quan trọng về lỗ hổng CVE trong các môi trường doanh nghiệp.
Hiểu về Remote Procedure Call (RPC)
RPC là một giao thức cho phép gọi các hàm nằm trong một tiến trình riêng biệt hoặc trên một máy từ xa, giống như chúng được định vị cục bộ. Do nhiều tính năng nền tảng của Windows và Active Directory được xây dựng dựa trên RPC, nó trở thành một trong những bề mặt tấn công hấp dẫn nhất trong môi trường doanh nghiệp.
Các kỹ thuật tấn công chính lạm dụng RPC bao gồm:
- Di chuyển ngang.
- Đánh cắp thông tin xác thực.
- Leo thang đặc quyền.
Việc giám sát lưu lượng RPC ở tầng mạng truyền thống tỏ ra không khả thi ở quy mô lớn và hoàn toàn không hiệu quả khi phương tiện truyền tải bên dưới (như SMB3) được mã hóa. Điều này tạo ra một kẽ hở mà các tác nhân độc hại có thể khai thác để thực hiện tấn công mạng.
Khả năng Giám sát RPC của Microsoft Defender
Để khắc phục hạn chế này, các nhóm nghiên cứu và kỹ thuật của Microsoft Defender đã mở rộng tích hợp RPC hiện có với Windows Filtering Platform (WFP) để đạt được độ chi tiết ở cấp độ OpNum. Điều này có nghĩa là Defender hiện có thể xác định chính xác hàm RPC đang được gọi, không chỉ giao diện, mà không cần chặn hoặc làm gián đoạn lưu lượng truy cập bình thường.
Phạm vi giám sát
Việc giám sát tập trung vào các lệnh gọi RPC từ xa đến (inbound remote RPC calls) được quan sát thấy trên máy chủ đích, đặc biệt nhắm vào các tương tác do kẻ tấn công khởi tạo với các giao diện RPC đã được phơi bày. Các lệnh gọi RPC cục bộ và đi (outbound) nằm ngoài phạm vi.
Defender chủ động giám sát các hoạt động từ xa được chọn từ các giao diện quan trọng, bao gồm Remote Registry, Service Control Manager, Task Scheduler và Windows Management Instrumentation (WMI).
Triển khai và Phát hiện
Tính năng giám sát RPC hiện có sẵn cho các máy trạm và đang trong quá trình triển khai dần cho máy chủ. Các phát hiện đang được triển khai bao gồm:
- Lạm dụng Service Control Manager để tạo dịch vụ từ xa.
- Lạm dụng Remote Registry để đọc thông tin xác thực.
Các nhóm bảo mật có thể truy vấn dữ liệu RPC trực tiếp trong tab Advanced Hunting bằng cách sử dụng loại hành động InboundRemoteRpcCall trong DeviceEvents.
Ví dụ về Truy vấn Advanced Hunting
Các ảnh chụp màn hình được Microsoft chia sẻ cho thấy cách các nhà phân tích có thể tìm kiếm các sự kiện lưu khóa registry từ xa (OpNums 20/31 trên giao diện 338cd001) và các sự kiện tạo dịch vụ từ xa (OpNums 12, 24, 44, 45, 60 trên giao diện 367abb81). Cả hai đều phổ biến liên quan đến các bộ công cụ như Impacket dùng cho dump thông tin xác thực và di chuyển ngang.
// Tìm kiếm sự kiện lưu khóa registry từ xa
DeviceEvents
| where ActionType == "InboundRemoteRpcCall"
| where RemotePort == 135 // RPC Endpoint Mapper
| where RpcInterfaceID == "338cd001-ba35-4912-a361-a715d68882f7"
| where RpcOpnum in (20, 31)
// Tìm kiếm sự kiện tạo dịch vụ từ xa
DeviceEvents
| where ActionType == "InboundRemoteRpcCall"
| where RpcInterfaceID == "367abb81-9844-45e4-b874-66407c90797c"
| where RpcOpnum in (12, 24, 44, 45, 60)
Tầm quan trọng đối với Phòng thủ
Sự cải tiến này mang lại cho lực lượng phòng thủ khả năng hiển thị chưa từng có vào một trong những vector tấn công bị lạm dụng nhiều nhất nhưng lại ít bị che khuất nhất trong các môi trường Windows, ngay trong cổng Microsoft Defender. Việc tăng cường khả năng giám sát RPC giúp phát hiện sớm các mối đe dọa mạng tinh vi.
Theo dõi các bản cập nhật bảo mật mới nhất và phân tích các lỗ hổng CVE nghiêm trọng tại các nguồn tin cậy như CISA.
Việc chủ động giám sát các hoạt động RPC có thể giúp các tổ chức ngăn chặn hiệu quả các cuộc tấn công di chuyển ngang và các hình thức lạm dụng khác, góp phần nâng cao an ninh mạng tổng thể.
