T1562.004: Отключение или перенастройка системного межсетевого экрана
Злоумышленники могут отключить или перенастроить системный межсетевой экран, чтобы обойти средства, ограничивающие использование сети. Возможно как полное отключение механизма, так и добавление, удаление или изменение отдельных правил. Это можно сделать разными способами в зависимости от операционной системы, в том числе через командную строку, реестр Windows и панель управления Windows.
Перенастройка или отключение системного межсетевого экрана может позволить злоумышленнику установить связь с командным сервером, перемещаться внутри периметра и эксфильтровать данные, что в противном случае было бы невозможно. Например, злоумышленники могут добавить новое правило межсетевого экрана для известного протокола, такого как RDP, указав нетипичный и потенциально менее защищенный порт (техника Нестандартный порт).
Злоумышленники могут также изменять сетевые настройки хоста, такие как пропускная способность интерфейса или максимальное число запросов на подключение, чтобы косвенно влиять на работу системного межсетевого экрана. Настройки, связанные с вредоносным использованием различных служб удаленного доступа, могут также косвенно изменять правила межсетевого экрана.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
security_code_secret_net_lsp: PT-CR-1904: SecretNet_LSP_FW_rule_without_audit_created: Создано правило межсетевого экрана Secret Net LSP без записи в журнал аудита, или отключена запись в журнал аудита в правиле
web_servers_abnormal_activity: PT-CR-1972: Web_Servers_Abnormal_Activity_Defense_Evasion: Злоумышленник может менять параметры журналирования, чтобы скрыть свои действия, и правила межсетевого экрана, чтобы продвигаться по сети
mitre_attck_defense_evasion: PT-CR-1861: Firewall_Modify: Попытка изменить конфигурацию брандмауэра Windows
remote_work: PT-CR-435: Windows_firewall_enable_local_RDP: Применены разрешения, позволяющие создавать подключения по протоколу RDP
unix_mitre_attck_defense_evasion: PT-CR-1657: Unix_Firewall_Disable_Config_Modify: Отключение или изменение конфигурации брандмауэра
Способы обнаружения
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Изменения в правилах межсетевого экрана | Описание | Monitor for changes made to firewall rules that might allow remote communication over protocols such as SMD and RDP. Modification of firewall rules might also consider opening local ports and services for different network profiles such as public and domain. |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Отключение межсетевого экрана | Описание | Monitor for changes in the status of the system firewall such as Windows Security Auditing events 5025 (The Windows firewall service has been stopped) and 5034 (The Windows firewall driver was stopped). |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor for changes made to windows Registry keys and/or values that adversaries might use to disable or modify System Firewall settings such as |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments associated with disabling or the modification of system firewalls such as |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Routinely check account role permissions to ensure only expected users and roles have permission to modify system firewalls. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ensure proper user permissions are in place to prevent adversaries from disabling or modifying firewall settings. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Ensure proper Registry permissions are in place to prevent adversaries from disabling or modifying firewall settings. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ensure proper process and file permissions are in place to prevent adversaries from disabling or modifying firewall settings. |
---|