MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1562.004: Отключение или перенастройка системного межсетевого экрана

Злоумышленники могут отключить или перенастроить системный межсетевой экран, чтобы обойти средства, ограничивающие использование сети. Возможно как полное отключение механизма, так и добавление, удаление или изменение отдельных правил. Это можно сделать разными способами в зависимости от операционной системы, в том числе через командную строку, реестр Windows и панель управления Windows.

Перенастройка или отключение системного межсетевого экрана может позволить злоумышленнику установить связь с командным сервером, перемещаться внутри периметра и эксфильтровать данные, что в противном случае было бы невозможно. Например, злоумышленники могут добавить новое правило межсетевого экрана для известного протокола, такого как RDP, указав нетипичный и потенциально менее защищенный порт (техника Нестандартный порт).

Злоумышленники могут также изменять сетевые настройки хоста, такие как пропускная способность интерфейса или максимальное число запросов на подключение, чтобы косвенно влиять на работу системного межсетевого экрана. Настройки, связанные с вредоносным использованием различных служб удаленного доступа, могут также косвенно изменять правила межсетевого экрана.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

security_code_secret_net_lsp: PT-CR-1904: SecretNet_LSP_FW_rule_without_audit_created: Создано правило межсетевого экрана Secret Net LSP без записи в журнал аудита, или отключена запись в журнал аудита в правиле
web_servers_abnormal_activity: PT-CR-1972: Web_Servers_Abnormal_Activity_Defense_Evasion: Злоумышленник может менять параметры журналирования, чтобы скрыть свои действия, и правила межсетевого экрана, чтобы продвигаться по сети
mitre_attck_defense_evasion: PT-CR-1861: Firewall_Modify: Попытка изменить конфигурацию брандмауэра Windows
remote_work: PT-CR-435: Windows_firewall_enable_local_RDP: Применены разрешения, позволяющие создавать подключения по протоколу RDP
unix_mitre_attck_defense_evasion: PT-CR-1657: Unix_Firewall_Disable_Config_Modify: Отключение или изменение конфигурации брандмауэра

Способы обнаружения

IDDS0018Источник и компонент данныхМежсетевой экран: Изменения в правилах межсетевого экранаОписание

Monitor for changes made to firewall rules that might allow remote communication over protocols such as SMD and RDP. Modification of firewall rules might also consider opening local ports and services for different network profiles such as public and domain.

IDDS0018Источник и компонент данныхМежсетевой экран: Отключение межсетевого экранаОписание

Monitor for changes in the status of the system firewall such as Windows Security Auditing events 5025 (The Windows firewall service has been stopped) and 5034 (The Windows firewall driver was stopped).

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor for changes made to windows Registry keys and/or values that adversaries might use to disable or modify System Firewall settings such as HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments associated with disabling or the modification of system firewalls such as netsh advfirewall firewall set rule group="file and printer sharing" new enable=Yes,ufw disable, and ufw logging off.

Меры противодействия

IDM1047НазваниеАудитОписание

Routinely check account role permissions to ensure only expected users and roles have permission to modify system firewalls.

IDM1018НазваниеУправление учетными записямиОписание

Ensure proper user permissions are in place to prevent adversaries from disabling or modifying firewall settings.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Ensure proper Registry permissions are in place to prevent adversaries from disabling or modifying firewall settings.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ensure proper process and file permissions are in place to prevent adversaries from disabling or modifying firewall settings.