MITRE ATT&CK T1562.004 Ослабление защиты: Отключение или модификация системного брандмауэра

Отключение или изменение системного брандмауэра - это техника уклонения от защиты, которую злоумышленники используют для манипулирования настройками брандмауэра, чтобы обойти средства контроля безопасности и облегчить вредоносную деятельность. Брандмауэры - это критически важные компоненты безопасности, предназначенные для мониторинга и контроля сетевого трафика, блокирования несанкционированного доступа и предотвращения вредоносных сообщений. Отключив или изменив конфигурацию брандмауэра, атакующие могут незаметно перемещаться в сети, осуществлять утечку данных или создавать постоянные каналы командования и управления (C2).

Что такое системный брандмауэр?

Системные брандмауэры служат барьером между компьютером или сетью компьютеров и внешними угрозами. Он функционирует как защитный барьер, отслеживая и контролируя входящий и исходящий сетевой трафик на основе заранее установленных правил безопасности. Основная задача системного брандмауэра - предотвратить несанкционированный доступ к частной сети или из нее, обеспечивая только легитимное и санкционированное взаимодействие. Брандмауэр проверяет пакеты данных, проходящие через сеть, и определяет, соответствуют ли они заданным критериям, изложенным в правилах безопасности.

Использование злоумышленниками отключения или изменения системного брандмауэра

Брандмауэры предназначены для мониторинга и контроля входящего и исходящего сетевого трафика на основе заранее установленных правил безопасности. Отключив или изменив их настройки, злоумышленники могут облегчить перемещение вредоносного трафика и утечку данных, сохранить контроль над взломанной системой и обеспечить латеральное распространение вредоносного ПО или атаки внутри сети.

Злоумышленники часто используют собственные команды операционной системы или интерфейсы конфигурации для изменения правил в брандмауэре, прямого отключения брандмауэра или изменения его настроек таким образом, чтобы ослабить защитные меры. В системах Linux злоумышленники могут использовать 'iptables' или другие утилиты командной строки, чтобы изменить набор правил брандмауэра или полностью остановить его работу. В кампании XMRig, направленной на криптоминерализацию систем Docker и Kubernetes, злоумышленники использовали приведенные ниже команды для отключения скомпрометированных брандмауэров.

В системе Windows атакующий может использовать утилиту командной строки 'netsh' для изменения конфигурации брандмауэра или напрямую взаимодействовать с брандмауэром Windows через панель управления. Например, программа Phobos ransomware использует приведенную ниже команду для обхода протоколов сетевой защиты организации.

В некоторых случаях злоумышленники вставляют специальные правила, разрешающие трафик на контролируемые злоумышленниками домены или IP-адреса, а в других - пытаются отключить ведение журнала или генерацию предупреждений, которые обычно используются для обнаружения и расследования вредоносной активности. Один из тонких способов, с помощью которого злоумышленники модифицируют брандмауэр, - это добавление, казалось бы, безопасных исключений, которые можно использовать в своих целях. Это могут быть правила, разрешающие трафик через определенные порты, которые, как известно атакующим, они могут использовать для связи с вредоносным ПО или серверами управления. С точки зрения защитника, эти изменения могут не сразу стать тревожным сигналом, поскольку порты могут использоваться и для легитимных служб. В приведенном ниже примере вредоносная программа BPFDoor добавляет правила:

• разрешить трафик с атакующего IP
• перенаправлять вредоносный трафик на другой порт, чтобы перехватить данные до того, как они попадут по назначению
• удалить предыдущие правила, добавленные атакующим.