Skip to content
[ root@retasan:~# Friday, Jul 17, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Exploit Development

DCOM Explained: Bagaimana Attacker Mengubah Fitur Windows menjadi Alat Lateral Movement

// by retasan-news July 17, 2026 4 min read
DCOM Lateral Movement Architecture

Distributed COM (DCOM) memungkinkan satu Windows host untuk menginstansiasi dan menjalankan COM object pada host lain melalui jaringan — dan kemampuan yang sama menjadi primadona untuk teknik lateral movement. Zshan Hyder dari Detect FYI menjelaskan secara mendalam bagaimana attacker memanfaatkan DCOM untuk berpindah dari satu host ke host lain menggunakan credential yang dicuri, tanpa meny-drop satu file pun ke disk.

APA YANG TERJADI?

DCOM pada dasarnya adalah COM yang diperpanjang ke jaringan. COM menghubungkan aplikasi dalam satu host; DCOM memungkinkan aplikasi di Computer A untuk menjalankan script atau program di Computer B. Dalam konteks lateral movement, attacker yang sudah memiliki valid credentials dapat meminta remote host menginstansikan COM object yang trusted dan signed, lalu menjalankan perintah atas nama attacker — seluruhnya fileless. Contoh spesifik: attacker menggunakan credential dari `lsass.exe` pada Machine A, terhubung ke Machine B melalui TCP port 135 (RPC Endpoint Mapper), meminta COM object `MMC20.Application` (CLSID `C085698C-D16F-417A-8851-A263C70D21B6`), lalu memanggil method `ExecuteShellCommand` yang sudah tersedia pada object tersebut.

Hasilnya: `mmc.exe` di-spawn sebagai child dari `svchost.exe` pada Machine B, dan perintah attacker dijalankan dari sana. Tidak ada binary berbahaya yang di-drop ke disk — hanya trusted, signed Windows binary yang menjalankan perintah attacker.

DETAIL TEKNIS

Workflow DCOM dimulai dari client memanggil `CoCreateInstanceEx()` dengan CLSID target dan IP target server. Request diteruskan ke RPCSS service lokal yang membangun network packet, lalu terhubung ke target melalui TCP port 135. RPCSS pada target melakukan lookup CLSID di registry `HKCR\CLSID`, memverifikasi permissions, dan meminta Service Control Manager untuk spawn process (seperti `mmc.exe`). Traffic kemudian berpindah ke dynamic high port untuk komunikasi selanjutnya. Deteksi memerlukan korelasi beberapa event: Event ID 4624 Logon Type 3 (network logon), RPC connections over TCP port 135 antar workstations, dan anomalous parent/child process chain di mana interpreter (`cmd.exe`/`powershell.exe`) di-spawn sebagai child dari DCOM host (`mmc.exe`/`excel.exe`) yang merupakan child dari `svchost.exe`.

MITRE ATT&CK technique: T1021.003 (Distributed Component Object Model). Detection correlation rules tersedia di repository `zshanhyder01/Detection-Engineering` pada path `lateral_movement/dynamic_component_object_model_dcom`.

DAMPAK TERHADAP INDONESIA

Teknik DCOM lateral movement sangat relevan bagi lingkungan Active Directory di Indonesia, terutama di perusahaan besar, bank, dan instansi pemerintah yang menggunakan Windows domain. Banyak SOCs di Indonesia yang mungkin belum mengkorelasikan Event ID 4624 Logon Type 3 dengan RPC connections port 135 dan anomalous process chains. Tanpa korelasi ini, DCOM lateral movement akan terlihat sebagai network logon biasa dan lolos dari deteksi. Selain itu, banyak administrator Windows di Indonesia yang tidak menyadari bahwa DCOM activation rights dapat disalahgunakan, sehingga membiarkan workstation-to-workstation communication pada TCP port 135 tetap terbuka. Ini menjadi attack surface yang signifikan dalam lingkungan enterprise Indonesia.

REKOMENDASI MITIGASI

Pertama, segmentasi network menggunakan host firewalls — blok inbound TCP 135 (dan dynamic RPC high-port range) antar workstations. P2P RPC jarang legitimate pada endpoint LAN. Kedua, ketatkan DCOM activation rights — hapus remote launch/activation permissions dari non-administrative users melalui system-wide DCOM ACLs (`dcomcnfg` / `MachineLaunchRestriction` security descriptor). Ketiga, putuskan credential reuse — deploy LAPS (Local Administrator Password Solution) sehingga setiap mesin memiliki unique local admin password. Keempat, proteksi LSASS — enable Credential Guard, LSA protection (RunAsPPL), dan Defender ASR rules yang memblokir credential dumping. Kelima, hunt lineage secara continous — alert pada setiap child dari DCOM host (`mmc.exe`, `excel.exe`, dll) yang menjalankan `cmd.exe` atau `powershell.exe`, terutama dengan `-Embedding` pada parent.

Analisa Retasan

DCOM lateral movement merupakan contoh sempurna dari abuse “feature, not flaw” — teknik ini memanfaatkan fungsionalitas legitimate yang dirancang untuk administrasi remote, menjadikannya sangat sulit untuk dideteksi karena tidak meninggalkan binary berbahaya di disk dan berjalan melalui trusted, signed processes. Dalam lingkungan Windows enterprise, COM adalah “plumbing” yang menghubungkan ribuan komponen — dari embed Excel chart di Word hingga Windows Management Instrumentation (WMI). Ketika seseorang menginstansikan COM object dari remote host, secara fundamental sama dengan operasi administrasi legitimate.

Yang membuat teknik ini berbahaya adalah prerequisite-nya yang sederhana: cukup satu credential valid (NTLM hash atau plaintext) dari `lsass.exe`. Dalam lingkungan enterprise yang masih menggunakan local admin password yang sama di banyak mesin — sebuah masalah yang sangat umum di Indonesia — satu credential yang berhasil dicuri dapat membuka akses lateral ke seluruh jaringan melalui DCOM. Tanpa LAPS dan segmentasi yang memadai, satu compromised workstation dapat menjadi titik akses ke seluruh domain.

Korelasi deteksi yang dijelaskan dalam artikel ini — menggabungkan network logon, RPC port 135, dan anomalous process chain — merupakan pendekatan yang tepat. Namun, banyak SOC di Indonesia yang masih beroperasi dengan rule-based detection yang tidak mengkorelasikan event-event ini secara bersamaan. Penting untuk mengadopsi SIEM correlation rules yang secara spesifik menangkap pola DCOM abuse, dan melakukan threat hunting rutin terhadap process chains mencurigakan di bawah svchost.exe -k DcomLaunch.

Sumber: core-jmp.org — DCOM Explained: Lateral Movement Tool

Tags: DCOM Detection Lateral Movement MITRE ATT&CK Sysmon Windows Internals
Share:

retasan-news

← Previous GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware
Next → CVE-2026-48909: PHP Object Injection pada SP LMS Joomla Berhasil Capai RCE Tanpa Autentikasi

Artikel Terkait

CVE-2026-48909: PHP Object Injection pada SP LMS Joomla Berhasil Capai RCE Tanpa Autentikasi

CVE-2026-48909: PHP Object Injection pada SP LMS Joomla Berhasil Capai RCE Tanpa Autentikasi

July 17, 2026
LACUNA Chain: Ghost Frames Berhasil Kalahkan Setiap Lapisan Deteksi EDR Call-Stack

LACUNA Chain: Ghost Frames Berhasil Kalahkan Setiap Lapisan Deteksi EDR Call-Stack

July 17, 2026
Windows ARM64 Internals: Memahami Interrupt Handling pada Arsitektur ARM

Windows ARM64 Internals: Memahami Interrupt Handling pada Arsitektur ARM

July 17, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.