Skip to content
[ root@retasan:~# Tuesday, Jul 14, 2026 ]

> Retasan_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Malware Exploit Development Kebijakan Keamanan Cyberwarfare Tools Data Breach Iklan
Cyberwarfare

LLM Bisa Bongkar Seluruh Deteksi EDR: Studi Kasus SpecterOps Melawan Cortex XDR

// by retasan-news July 14, 2026 6 min read

AI vs EDR Security Analysis

Dalam sebuah penelitian yang mengguncang fondasi industri keamanan endpoint, Adam Chester dari tim TRACE di SpecterOps berhasil membuktikan bahwa model Large Language Model (LLM) mampu menganalisis, membongkar, dan merekonstruksi seluruh mekanisme deteksi dari salah satu solusi Endpoint Detection and Response (EDR) terkemuka di dunia — Palo Alto Cortex XDR. Penelitian yang dipublikasikan pada tanggal 29 Juni 2026 ini bukan sekadar demonstrasi teoretis, melainkan sebuah bukti konkrit bahwa AI dapat digunakan secara sistematis untuk memahami dan mengalahkan pertahanan keamanan yang selama ini dianggap canggih dan tahan terhadap analisis manual.

Chester menggunakan model GPT-5.5-Cyber yang diintegrasikan dengan Binary Ninja MCP (Model Context Protocol) dalam sebuah loop Docker yang ia sebut “Day Shift” harness. Harness ini dirancang untuk secara otomatis memuat binary EDR, menganalisis strukturnya, mengekstrak artefak deteksi, dan menghasilkan laporan analisis yang terstruktur — semuanya tanpa intervensi manusia. Pendekatan ini sangat berbeda dari metode analisis manual tradisional di mana seorang peneliti keamanan membutuhkan berminggu-minggu atau bahkan berbulan-bulan untuk melakukan reverse engineering pada satu komponen EDR.

Yang pertama kali berhasil diekstraksi oleh LLM adalah analisis mendalam dari cyinjct.dll, sebuah komponen inti Cortex XDR yang bertanggung jawab untuk injeksi hook ke dalam proses sistem. LLM berhasil mengidentifikasi bahwa DLL ini melakukan hook pada tiga fungsi kritis Windows: LdrInitializeThunk, NtContinue, dan NtTestAlert. Ketiga fungsi ini merupakan bagian dari mekanisme penanganan exception dan penjadwalan thread di Windows, yang berarti Cortex XDR memantau setiap aktivitas penanganan error dan penjadwalan ulang thread di setiap proses yang dilindunginya. Dengan memahami hook-hook ini, seorang peneliti dapat merancang teknik bypass yang menghindari jalur-jalur pemantauan ini sepenuhnya.

Penemuan paling mencolok dari penelitian ini adalah kemampuan LLM untuk mendekripsi dan mengekstrak aturan YARA Cortex XDR secara utuh. Aturan YARA yang tersimpan dalam file yara_rulesets_cache.bin dienkripsi menggunakan AES-128-ECB dengan kunci yang tertanam langsung dalam binary. LLM berhasil mengidentifikasi algoritma enkripsi, mengekstrak kunci, dan mendekripsi seluruh set aturan YARA ke dalam format plaintext yang bisa dibaca manusia. Yang mengkhawatirkan adalah hasilnya: terdapat 6.358 entri dalam file yara_data.json yang berisi definisi lengkap dari semua pola deteksi yang digunakan Cortex XDR untuk mengidentifikasi malware, termasuk agen-agen C2 seperti Mythic, serta tool-tool offensive seperti SCCMHunter dan BloodHound.

Beyond YARA, LLM juga berhasil mengekstrak 9.350 aturan DSE (Deep Security Engine) dan 4.209 aturan BIOC (Behavioral Indicator of Compromise) dari Cortex XDR. Aturan-aturan ini merepresentasikan lapisan deteksi berbasis behavioral yang lebih kompleks dari sekadar signature matching. Mereka mendefinisikan pola-pola perilaku spesifik yang dianggap mencurigakan, termasuk urutan syscall tertentu, akses resource dalam pola abnormal, dan interaksi antar proses yang tidak biasa. Total hampir 14.000 aturan deteksi yang berhasil diekstraksi ini memberikan peta lengkap tentang apa yang bisa dan tidak bisa dideteksi oleh Cortex XDR.

Temuan yang tidak kalah signifikan adalah ekstraksi 7 model machine learning yang tertanam dalam Cortex XDR. Model-model ini merupakan tree-ensemble scorers yang berfungsi sebagai classifier untuk menilai tingkat risiko dari aktivitas yang dipantau. LLM berhasil tidak hanya mengekstrak model-model ini tetapi juga merekonstruksi execution harness-nya — kode yang dibutuhkan untuk menjalankan model-model ini dan menginterpretasikan output-nya. Dengan mengetahui threshold scoring dan input features dari model-model ini, seorang attacker dapat merancang aktivitas jahat yang sengaja dirancang untuk mendapatkan skor di bawah threshold deteksi, secara efektif menjadi “invisible” bagi lapisan ML-based detection Cortex XDR.

Lapisan deteksi terakhir yang berhasil dibongkar oleh LLM adalah aturan CLP (C Language Production) yang dienkripsi menggunakan AES-256-CBC. Aturan CLP ini ditulis dalam CLIPS, sebuah bahasa pemrograman rule engine berbasis LISP yang digunakan oleh Cortex XDR untuk implementasi deteksi berbasis logika kompleks. Setelah dekripsi, LLM mengungkapkan bahwa aturan CLP ini mendefinisikan logika deteksi multi-kondisi yang menggabungkan beberapa indikator secara bersamaan — misalnya, deteksi hanya dipicu ketika kombinasi dari process creation pattern, file access pattern, dan network connection pattern terjadi dalam timeframe tertentu. Logika semacam ini sangat sulit dibongkar secara manual karena harus dipahami secara simultan, namun LLM mampu mengekstrak dan menjelaskannya dalam format yang mudah dipahami.

Chester juga melaporkan bahwa ia telah melakukan penelitian serupa terhadap semua “Big 5” EDR vendor — yang secara implisit berarti penelitian ini tidak terbatas pada Cortex XDR. Temuan-temuan ini menunjukkan bahwa masalah paparan artefak deteksi bukanlah masalah spesifik satu vendor, melainkan masalah arsitektural yang melekat pada cara EDR saat ini menyimpan dan menggunakan aturan deteksi mereka. Fakta bahwa kunci enkripsi tertanam dalam binary yang bisa diakses oleh siapa saja berarti enkripsi ini hanya memberikan security through obscurity, bukan keamanan sejati. Siapapun dengan kemampuan reverse engineering yang memadai — dan sekarang, dengan bantuan LLM yang memadai — dapat mengekstrak dan memahami aturan deteksi ini.

Salah satu aspek paling kritis dari penelitian ini adalah demonstrasi bahwa hasil ekstraksi dapat digunakan untuk membangun lingkungan simulasi EDR yang akurat. Chester berhasil membangun simulasi Cortex XDR yang menerima input dalam format yang sama, memprosesnya menggunakan aturan yang sama, dan menghasilkan output deteksi yang identik. Lingkungan simulasi ini kemudian digunakan untuk secara otomatis mengusulkan teknik evasi — pendekatan yang memungkinkan aktivitas jahat melewati deteksi EDR tanpa memodifikasi payload itu sendiri. Dalam konteks red teaming, ini berarti sebuah “EDR simulator” yang bisa dijalankan di lokal untuk menguji teknik bypass sebelum digunakan di lingkungan produksi.

Analisa Retasan

Penelitian Adam Chester ini membuktikan sebuah realitas yang mengkhawatirkan bagi seluruh industri keamanan: EDR tidak lagi memiliki keunggulan informasi atas penyerang. Selama ini, asimetri informasi menjadi pilar utama pertahanan EDR — vendor tahu bagaimana deteksi mereka bekerja, sementara penyerang harus menebak-nebak. Dengan LLM yang mampu mengekstrak seluruh artefak deteksi secara otomatis, asimetri ini telah berbalik total. Penyerang kini bisa mengetahui secara persis apa yang dideteksi, bagaimana threshold-nya, dan bagaimana cara menghindarinya — semua dalam waktu berhari-hari alih-alih berbulan-bulan.

Yang paling mengganggu dari perspektif pertahanan adalah bahwa masalah ini tidak memiliki solusi teknis yang sederhana. Mengenkripsi ulang aturan deteksi tidak akan menyelesaikan masalah karena binary harus tetap mampu mengeksekusi aturan-aturan ini di runtime, yang berarti kunci harus tersedia di memory. Menyembunyikan model ML juga tidak efektif karena model harus menerima input dan menghasilkan output, yang bisa direkonstruksi melalui black-box testing. Solusi satu-satunya yang mungkin adalah pergeseran fundamental dari pendekatan signature dan rule-based detection ke sistem deteksi yang benar-benar adaptif dan tidak memiliki artefak statis yang bisa dieksploitasi.

Bagi organisasi di Indonesia yang mengandalkan EDR sebagai pertahanan utama mereka, penelitian ini menjadi pengingat keras bahwa EDR bukanlah silver bullet. EDR tetap berharga sebagai satu lapisan dalam strategi pertahanan bertingkat (defense in depth), namun organisasi tidak boleh menganggapnya sebagai satu-satunya pertahanan yang diperlukan. Logging terpusat (SIEM), network detection and response (NDR), threat hunting proaktif, dan security awareness training tetap menjadi komponen kritis dari postur keamanan yang kuat. Yang lebih penting lagi, tim red team di Indonesia harus mulai bereksperimen dengan pendekatan LLM-powered analysis untuk menguji pertahanan organisasi mereka sendiri sebelum penyerang melakukannya.

Sumber: SpecterOps – LLM-Powered EDR Analysis | Penulis: Adam Chester, Senior Offensive Security Engineer, SpecterOps TRACE

Tags: Binary Ninja Cortex XDR EDR LLM Reverse Engineering YARA Rules
Share:

retasan-news

← Previous COMLoaderAstharot: Tool COM Hijack Canggih yang Menarget Chrome dan Edge dengan LdrCallEnclave
Next → Kampanye Mini Shai-Hulud, Miasma, dan Hades: Cacing Supply Chain yang Incar Pengembang Bioinformatika dan MCP

Artikel Terkait

Semantic Denial of Service: Serangan Availability pada Robot yang Dikontrol LLM

Semantic Denial of Service: Serangan Availability pada Robot yang Dikontrol LLM

July 14, 2026
Dampak Perang Siber terhadap Infrastruktur Energi: Pelajaran dari Konflik Rusia-Ukraina

Dampak Perang Siber terhadap Infrastruktur Energi: Pelajaran dari Konflik Rusia-Ukraina

July 14, 2026
CVE-2026-47291: Integer Overflow 16-bit di Windows HTTP.sys Buka Jalan Kernel Pool Overflow 500KB

CVE-2026-47291: Integer Overflow 16-bit di Windows HTTP.sys Buka Jalan Kernel Pool Overflow 500KB

July 14, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.