สรุปสั้น

บริษัท Microsoft ขยายความสามารถของ Microsoft Defender ให้สามารถ monitor, detect และ disrupt การโจมตีที่ abuse Remote Procedure Call (RPC) ซึ่งเป็น protocol หลักของ Windows ที่ผู้โจมตีใช้มานานสำหรับ lateral movement, การขโมย credential และการยกระดับสิทธิ์ RPC เป็น protocol ที่ยอมให้ฟังก์ชันใน process แยกหรือบนเครื่องระยะไกลถูกเรียกใช้เสมือนทำงานในเครื่องเดียวกัน เพราะ feature พื้นฐานของ Windows และ Active Directory จำนวนมากสร้างบน RPC จึงทำให้ RPC เป็นหนึ่งใน attack surface ที่ดึงดูดที่สุดในสภาพแวดล้อม enterprise

เทคนิคโจมตีที่ abuse RPC รวมถึง lateral movement ผ่านการสร้าง task หรือ service จากระยะไกล, DCsync ที่ exploit Active Directory replication RPC, SecretsDump ที่ abuse Windows Remote Registry interface (UUID 338cd001-2244-31f1-aaaa-900038001003) เพื่อ extract SAM และ LSA secret, authentication coercion ที่บังคับเซิร์ฟเวอร์ authenticate ไปยังระบบของผู้โจมตี และเครื่องมือ discovery อย่าง SharpHound ที่ enumerate user/session/share ผ่าน RPC ความท้าทายคือ network-layer monitoring ของ RPC ใช้งานจริงไม่ได้ในระดับ scale และตาบอดเมื่อ transport เช่น SMB3 ถูก encrypt บริษัท Microsoft จึงขยาย RPC integration กับ Windows Filtering Platform (WFP) ให้ได้ความละเอียดระดับ OpNum ระบุฟังก์ชัน RPC ตัวที่ถูกเรียกได้แม่นยำโดยไม่รบกวน traffic ปกติ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 9 มิถุนายน พ.ศ. 2569 อ้างประกาศของบริษัท Microsoft ที่ขยาย Microsoft Defender ให้ monitor RPC abuse ผ่าน WFP integration ระดับ OpNum granularity โดยเน้นที่ inbound remote RPC call ที่สังเกตได้บน server host เป้าหมายคือ interaction ที่ผู้โจมตีเริ่มต่อ RPC interface ที่เปิดให้เข้าถึงได้ ส่วน RPC call ที่เป็น local และ outbound อยู่นอกขอบเขต

Defender monitor remote operation จาก interface สำคัญแบบ dynamic ครอบคลุม Remote Registry, Service Control Manager, Task Scheduler และ Windows Management Instrumentation (WMI) ฟีเจอร์นี้ generally available บน workstation แล้ว ขณะที่บน server กำลัง rollout แบบทยอย โดยมี detection ที่เริ่มทำงานแล้วได้แก่ การโจมตี hands-on-keyboard ผ่าน Impacket toolkit, การสร้าง remote service ที่น่าสงสัย (mapped กับ lateral movement), การขโมย LSA secret, การ discover user/session ผ่าน RPC ที่ผิดปกติ และ authentication coercion attack

ทีมความปลอดภัยสามารถ query telemetry RPC โดยตรงในแท็บ Advanced Hunting ใช้ action type InboundRemoteRpcCall ใน table DeviceEvents ตัวอย่าง screenshot จากบริษัท Microsoft แสดงวิธีที่นักวิเคราะห์ hunt event การ save remote registry key (OpNum 20/31 บน interface 338cd001) และการสร้าง remote service (OpNum 12, 24, 44, 45, 60 บน interface 367abb81) ซึ่งทั้งหมดเกี่ยวข้องกับ credential dumping และ lateral movement toolkit อย่าง Impacket การปรับปรุงนี้ให้ defender visibility ระดับที่ไม่เคยมีมาก่อนต่อหนึ่งใน attack vector ที่ถูก abuse มากที่สุดและ historically opaque ที่สุดในสภาพแวดล้อม Windows ตรงภายใน Microsoft Defender portal

Microsoft Defender now monitors RPC protocol abuse OpNum granularity lateral movement

รายละเอียดช่องโหว่

การ implement WFP-based RPC auditing ทำงานโดย hook ที่ระดับ kernel filter เมื่อ inbound RPC request เข้ามา WFP จะส่ง telemetry รวมถึง interface UUID, OpNum (หมายเลขฟังก์ชัน), source host และ context ของ caller ไปยัง Defender for Endpoint sensor ทำให้สามารถระบุได้ว่าผู้ remote host เรียกฟังก์ชันใดบน interface ใด ตัวอย่างที่ Microsoft ให้คือ Remote Registry RegSaveKey (OpNum 20) และ RegSaveKeyEx (OpNum 31) ที่ใช้สำหรับ dump SAM และ SYSTEM hive ระยะไกล หรือ SCManagerOpenSCManagerW + CreateServiceA/W (OpNum 12, 24, 44, 45, 60) ที่ใช้สำหรับสร้าง service ระยะไกลเพื่อ execute payload

interface ที่ถูก monitor ครอบคลุม UUID หลักของ MS-LSAR (LSA), MS-SAMR (SAM), MS-DRSR (Directory Replication ที่ DCsync exploit), MS-SRVS (Server service), MS-SCMR (Service Control Manager), MS-TSCH (Task Scheduler) และ DCOM/WMI สำหรับ authentication coercion เช่น PetitPotam, PrinterBug, ShadowCoerce, DFSCoerce และ MS-EFSR Defender มี detection signature ที่ผูก call pattern เฉพาะของ each technique

ผลกระทบต่อไทย

องค์กรไทยที่ใช้ Microsoft Defender for Endpoint Plan 2 และ Defender XDR ได้ประโยชน์โดยตรง โดยเฉพาะหน่วยงานราชการ ธนาคาร และองค์กรขนาดใหญ่ที่ใช้ Active Directory เป็นแกนหลัก เพราะการ detect RPC abuse จะปิดช่องว่างสำคัญที่ traditional network monitoring มองไม่เห็น โดยเฉพาะเมื่อ traffic ถูก SMB3 encrypt ตามมาตรฐาน

ฝ่าย Security Operations Center (SOC) ของไทยสามารถใช้ KQL ใหม่ใน Advanced Hunting จับสัญญาณการโจมตีระยะ post-exploitation ของ ransomware และ APT ที่นิยมใช้ Impacket, Mimikatz, SharpHound และ Rubeus ก่อนที่ผู้โจมตีจะ deploy payload จริง สำหรับองค์กรไทยที่เคยตกเป็นเหยื่อ ransomware ที่ใช้ DCsync และ Remote Registry dump การ visibility ระดับ OpNum นี้คือทางออกที่รอมานาน

คำแนะนำ

อัปเดต Microsoft Defender for Endpoint ให้ทันสมัยและตรวจสอบว่า workstation ของทีม IT/Admin ได้รับ feature นี้แล้ว ส่วน server ให้ติดตาม rollout schedule จาก Microsoft Defender portal สำหรับ SOC ให้สร้าง custom detection rule ใน Advanced Hunting query DeviceEvents ที่มี ActionType เป็น InboundRemoteRpcCall โดย filter ตาม interface UUID และ OpNum ของ technique ที่อยากจับ เช่น:

  • DCsync: interface MS-DRSR (e3514235-4b06-11d1-ab04-00c04fc2dcd2) + OpNum 3 (DRSGetNCChanges)
  • Remote Registry dump: interface 338cd001 + OpNum 20 หรือ 31
  • Remote Service creation: interface 367abb81 + OpNum 24, 44 หรือ 45
  • PetitPotam: interface MS-EFSR + OpNum ของ EfsRpcOpenFileRaw

ตรวจสอบ baseline ก่อนที่ admin tool ปกติเช่น PsExec, SCCM และ Configuration Manager อาจ trigger false positive เพื่อ tune threshold พิจารณา deploy LDAP signing/channel binding และ SMB signing เพื่อตัด authentication coercion ที่ baseline และพิจารณาปิด unnecessary RPC interface บน server ที่ไม่ใช่ DC เพื่อลด attack surface

แหล่งอ้างอิง