T1562.004: Отключение или перенастройка системного межсетевого экрана

Злоумышленники могут отключить или перенастроить системный межсетевой экран, чтобы обойти средства, ограничивающие использование сети. Возможно как полное отключение механизма, так и добавление, удаление или изменение отдельных правил. Это можно сделать разными способами в зависимости от операционной системы, в том числе через командную строку, реестр Windows и панель управления Windows.

Перенастройка или отключение системного межсетевого экрана может позволить злоумышленнику установить связь с командным сервером, перемещаться внутри периметра и эксфильтровать данные, что в противном случае было бы невозможно. Например, злоумышленники могут добавить новое правило межсетевого экрана для известного протокола, такого как RDP, указав нетипичный и потенциально менее защищенный порт (техника Нестандартный порт).

Злоумышленники могут также изменять сетевые настройки хоста, такие как пропускная способность интерфейса или максимальное число запросов на подключение, чтобы косвенно влиять на работу системного межсетевого экрана. Настройки, связанные с вредоносным использованием различных служб удаленного доступа, могут также косвенно изменять правила межсетевого экрана.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

remote_work: PT-CR-435: Windows_Firewall_Enable_Local_RDP: Разрешен удаленный доступ к системе по протоколу RDP mitre_attck_defense_evasion: PT-CR-1861: Firewall_Modify: Попытка изменить конфигурацию брандмауэра Windows web_servers_abnormal_activity: PT-CR-1972: Web_Servers_Abnormal_Activity_Defense_Evasion: Злоумышленник может менять параметры журналирования, чтобы скрыть свои действия, и правила межсетевого экрана, чтобы продвигаться по сети unix_mitre_attck_defense_evasion: PT-CR-1657: Unix_Firewall_Disable_Config_Modify: Отключение или изменение конфигурации брандмауэра security_code_secret_net_lsp: PT-CR-1904: SecretNet_LSP_FW_Rule_Without_Audit_Created: Создано правило межсетевого экрана Secret Net LSP без записи в журнал аудита, или отключена запись в журнал аудита в правиле

Способы обнаружения

ID	DS0018	Источник и компонент данных	Межсетевой экран: Отключение межсетевого экрана	Описание	Отслеживайте изменения статуса системного межсетевого экрана, в частности события системы аудита безопасности Windows с идентификаторами 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows).

ID	DS0018	Источник и компонент данных	Межсетевой экран: Изменения в правилах межсетевого экрана	Описание	Отслеживайте изменения в правилах межсетевого экрана, которые могут разрешать удаленные подключения по протоколам SMB и RDP. Изменения в правилах межсетевого экрана также могут быть связаны с открытием локальных портов и служб для различных сетевых профилей, например общедоступных или доменных сетей.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в ключах и (или) значениях реестра, с помощью которых злоумышленники могут отключать или перенастраивать системный межсетевой экрана, включая `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy`.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для отключения или изменения параметров системных межсетевых экранов, например `netsh advfirewall firewall set rule group="file and printer sharing" new enable=Yes`,`ufw disable` и `ufw logging off`.

ID	Источник и компонент данных	Описание
DS0018	Межсетевой экран: Отключение межсетевого экрана	Отслеживайте изменения статуса системного межсетевого экрана, в частности события системы аудита безопасности Windows с идентификаторами 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows).
DS0018	Межсетевой экран: Изменения в правилах межсетевого экрана	Отслеживайте изменения в правилах межсетевого экрана, которые могут разрешать удаленные подключения по протоколам SMB и RDP. Изменения в правилах межсетевого экрана также могут быть связаны с открытием локальных портов и служб для различных сетевых профилей, например общедоступных или доменных сетей.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в ключах и (или) значениях реестра, с помощью которых злоумышленники могут отключать или перенастраивать системный межсетевой экрана, включая `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy`.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для отключения или изменения параметров системных межсетевых экранов, например `netsh advfirewall firewall set rule group="file and printer sharing" new enable=Yes`,`ufw disable` и `ufw logging off`.

Меры противодействия

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять системные межсетевые экраны имеют только те пользователи и роли, которым это требуется.

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать межсетевой экран или изменять его настройки.

ID	M1024	Название	Ограничение прав доступа к реестру	Описание	Проследите, чтобы для реестра были установлены надлежащие разрешения, которые не позволяют злоумышленникам отключать межсетевой экран или изменять его настройки.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Проследите, чтобы у процессов и файлов были надлежащие разрешения, которые не позволяют злоумышленникам отключать межсетевой экран или изменять его настройки.

ID	Название	Описание
M1047	Аудит	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять системные межсетевые экраны имеют только те пользователи и роли, которым это требуется.
M1018	Управление учетными записями	Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать межсетевой экран или изменять его настройки.
M1024	Ограничение прав доступа к реестру	Проследите, чтобы для реестра были установлены надлежащие разрешения, которые не позволяют злоумышленникам отключать межсетевой экран или изменять его настройки.
M1022	Ограничение разрешений для файлов и каталогов	Проследите, чтобы у процессов и файлов были надлежащие разрешения, которые не позволяют злоумышленникам отключать межсетевой экран или изменять его настройки.