Novas capacidades de detecção no Microsoft Defender
A Microsoft expandiu as capacidades do Microsoft Defender para monitorar, detectar e interromper ataques que abusam do protocolo Remote Procedure Call (RPC), uma ferramenta fundamental do Windows frequentemente explorada por atores de ameaças para movimento lateral, roubo de credenciais e escalonamento de privilégios.
O RPC permite que funções em processos separados ou máquinas remotas sejam invocadas como se fossem locais. Devido a isso, tornou-se uma das superfícies de ataque mais atraentes em ambientes corporativos, especialmente em infraestruturas baseadas em Active Directory.
Técnicas de ataque exploradas via RPC
Os principais vetores de ataque que abusam do RPC incluem:
- Movimento Lateral: Criação remota de tarefas, serviços ou invocação de WMI via interfaces RPC.
- Roubo de Credenciais: Ataques DCsync exploram chamadas RPC de replicação do Active Directory; ferramentas como SecretsDump abusam da interface de Registro Remoto do Windows para extrair segredos SAM e LSA.
- Escalação de Privilégios: Ataques de coerência de autenticação forçam servidores a se autenticarem em sistemas controlados por adversários.
- Descoberta: Ferramentas como SharpHound enumeram usuários, sessões e compartilhamentos usando chamadas RPC.
Como funciona a auditoria RPC do Defender
Para fechar a lacuna de monitoramento, as equipes de pesquisa e engenharia do Microsoft Defender estenderam a integração RPC existente com a Plataforma de Filtragem do Windows (WFP) para alcançar granularidade de nível OpNum. Isso significa que o Defender pode identificar a função RPC exata sendo chamada, não apenas a interface, sem interceptar ou interromper o tráfego normal.
O monitoramento foca em chamadas RPC remotas de entrada observadas no host do servidor, especificamente direcionando interações iniciadas por atacantes com interfaces RPC expostas. Operações locais e RPC de saída estão fora do escopo.
Detecções ativas e telemetria
O monitoramento RPC está geralmente disponível para estações de trabalho, com uma implementação gradual em andamento para servidores. Detecções ativas já em implantação incluem:
- Ataque contínuo de digitação via toolkit Impacket.
- Criação suspeita de serviço remoto (mapeada para movimento lateral).
- Indicação de roubo de segredos de autoridade de segurança local (LSA).
- Descoberta incomum de usuário e sessão baseada em RPC.
- Ataques de coerência de autenticação.
Equipes de segurança podem consultar a telemetria RPC diretamente na guia Advanced Hunting usando o tipo de ação InboundRemoteRpcCall em DeviceEvents.
Recomendações para CISOs
Com a expansão das capacidades de monitoramento, os CISOs devem garantir que suas equipes de SOC estejam treinadas para utilizar as novas consultas de telemetria. A implementação de regras de detecção específicas para OpNums críticos, como os relacionados ao Registro Remoto e Gerenciador de Controle de Serviços, é essencial para identificar atividades maliciosas em tempo real.
Além disso, a segmentação de rede e a restrição de acesso às interfaces RPC expostas devem ser revisadas para minimizar a superfície de ataque. A atualização para as versões mais recentes do Microsoft Defender é recomendada para aproveitar essas novas funcionalidades de segurança.