Picus Security analysiert MITRE ATT&CK-Technik T1562.004
Picus Security hat eine Analyse der MITRE ATT&CK®-Technik T1562.004 "Impair Defenses: Disable or Modify System Firewall" veröffentlicht. Die Technik ermöglicht es Angreifern, Sicherheitskontrollen durch Manipulation von Firewall-Einstellungen zu umgehen.
Das Cybersicherheitsunternehmen Picus Security hat die MITRE ATT&CK®-Technik T1562.004 "Impair Defenses: Disable or Modify System Firewall" detailliert beschrieben. Diese Technik beschreibt, wie Netzwerkschutzeinstellungen von Firewalls manipuliert werden, um die Sicherheitsüberwachung zu umgehen und bösartige Aktivitäten zu ermöglichen.
Angreifer nutzen das Deaktivieren oder Modifizieren von Firewalls, um Sicherheitsmaßnahmen zu umgehen, sich seitlich im Netzwerk zu bewegen, Daten zu exfiltrieren oder persistente Command-and-Control (C2)-Kanäle ohne Entdeckung aufzubauen. Firewalls sind entscheidende Sicherheitsmechanismen, die den Netzwerkverkehr überwachen und kontrollieren und unbefugten Zugriff verhindern.
Picus Securitys Analyse zeigt, wie Angreifer Befehle wie iptables unter Linux und das Dienstprogramm netsh unter Windows verwenden, um Firewall-Regeln zu ändern oder den Firewall-Dienst vollständig zu deaktivieren. Der Bericht hebt Beispiele wie den XMRig-Kryptominer und die Phobos-Ransomware hervor, die diese Methoden ausgenutzt haben.
In einigen Fällen fügen Angreifer permissive Regeln zu Firewalls für spezifische IP-Adressen oder Domänen hinzu, die sie kontrollieren. Andere versuchen möglicherweise, Protokollierungs- oder Alarmfunktionen zu deaktivieren, die normalerweise bei der Erkennung bösartiger Aktivitäten helfen würden. Die Analyse unterstreicht, dass selbst scheinbar harmlose Ausnahmen in Firewall-Regeln ausgenutzt werden können, um bösartige Verbindungen herzustellen.