文章总结: MicrosoftDefender扩展了对RPC协议的监控能力,通过集成Windows过滤平台实现OpNum级别细粒度检测,可识别被调用的具体RPC函数而非仅接口,重点监控进站远程RPC调用。新增检测包括Impacket攻击、可疑服务创建、LSA秘密盗窃、RPC枚举异常及认证胁迫等,支持通过高级狩猎查询RPC遥测数据,提升横向移动、凭据盗窃等攻击的可见性。 综合评分: 78 文章分类: 安全工具,威胁情报,网络安全,终端安全
Microsoft Defender 现监控黑客滥用 RPC 协议
O安全研究员 O安全研究员
O安全研究员
2026年6月9日 19:52 广东
在小说阅读器读本章
去阅读
Microsoft 已扩展 Microsoft Defender 的能力,以监控、检测并破坏滥用远程过程调用(RPC)的攻击。RPC 是长期被威胁行为者用于横向移动、凭证盗窃和权限升级的核心 Windows 协议。
远程过程调用(RPC)是一种协议,允许位于独立进程甚至远程机器中的函数被当作本地调用。
由于许多Windows和Active Directory的基础功能都基于RPC,RPC已成为企业环境中最具吸引力的攻击面之一。滥用RPC的关键攻击技术包括:
- 横向移动——远程创建任务、服务或通过RPC接口调用WMI
- 凭据盗窃——DCsync 攻击利用 Active Directory 复制 RPC 调用;SecretsDump 及类似工具滥用 Windows 远程注册表接口(UUID: )提取 SAM 和 LSA 秘密
338cd001-2244-31f1-aaaa-900038001003 - 权限升级——认证胁迫攻击迫使服务器通过良性的RPC接口向攻击者控制的系统进行身份验证
- 发现——像SharpHound这样的工具通过RPC调用枚举用户、会话和共享,这些调用映射到MITRE ATT&CK技术T1021、T1552.002、T1003.004和T1003。
Defender的RPC审计工作原理
传统的网络层RPC流量监控在大规模时不切实际,且当底层传输(如SMB3)被加密时,监控完全盲区。
为弥合这一差距,Microsoft 的 Defender 研究和工程团队将现有的 RPC 与 Windows 过滤平台(WFP)集成扩展,实现了 OpNum 级别的细粒度。
这意味着 Defender 现在可以准确识别被调用的 RPC 函数,而不仅仅是接口,而无需拦截或干扰正常流量。
监控重点是服务器主机上观察到的进站远程RPC调用,特别是针对攻击者发起的与暴露RPC接口的交互。本地和出站的RPC调用不在范围内。
Defender 动态监控来自关键接口的选定远程操作,包括远程注册表、服务控制管理器、任务调度器和 Windows 管理仪器(WMI)。
RPC监控通常适用于工作站,目前正在逐步推广服务器。目前已发货的主动检测包括:
- 通过Impacket工具包持续进行的手动键盘攻击
- 可疑的远程服务创建(映射为横向移动)
- 地方安全机构(LSA)秘密盗窃的迹象
- 基于RPC的用户和会话发现异常
- 身份验证强制攻击
安全团队可以直接在高级狩猎标签页中使用操作类型查询RPC遥测数据。
InboundRemoteRpcCall DeviceEvents
Microsoft 分享的截图展示了分析师如何寻找远程注册表密钥保存事件(接口上的 OpNums 20/31)和远程服务创建事件(接口上的 OpNums 12、24、44、45、60),这两者通常与凭据倾卸和横向移动工具包(如 Impacket)相关。
338cd00 1367abb81
这一增强让防守者能够前所未有的视野,了解Windows环境中最常被滥用但历史上不透明的攻击向量之一,直接在Microsoft Defender门户内。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:O安全研究员 O安全研究员 O安全研究员《Microsoft Defender 现监控黑客滥用 RPC 协议》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论