Picus Security analysoi MITRE ATT&CK:n T1562.004-tekniikkaa
Picus Security on julkaissut analyysin MITRE ATT&CK® -viitekehyksen tekniikasta T1562.004 "Impair Defenses: Disable or Modify System Firewall". Tekniikka mahdollistaa hyökkääjien ohittaa tietoturvavalvonnan manipuloimalla palomuuriasetuksia.
Tietoturvayhtiö Picus Security on syventynyt MITRE ATT&CK® -viitekehyksen tekniikkaan T1562.004 "Impair Defenses: Disable or Modify System Firewall". Tämä tekniikka kuvaa, kuinka verkon palomuuriasetuksia manipuloidaan tietoturvavalvonnan kiertämiseksi ja haitallisen toiminnan mahdollistamiseksi.
Hyökkääjät käyttävät palomuurien poistamista tai muokkaamista hyväkseen ohittaakseen turvatoimia, levitäkseen verkossa sivusuunnassa, varastaakseen tietoja tai luodakseen pysyviä komento- ja hallintayhteyksiä ilman havaitsemista. Palomuurit ovat keskeisiä tietoturvamekanismeja, jotka valvovat ja rajoittavat verkkoliikennettä estäen luvattoman pääsyn.
Picus Securityn analyysi osoittaa, kuinka hyökkääjät hyödyntävät esimerkiksi Linux-järjestelmissä iptables-komentoja ja Windowsissa netsh-apuohjelmaa muuttaakseen palomuurisääntöjä tai jopa sammuttaakseen palomuuripalvelun kokonaan. Raportissa tuodaan esiin esimerkkejä, kuten XMRig-kryptouhka ja Phobos-kiristyshaittaohjelma, jotka ovat hyödyntäneet näitä tekniikoita.
Joissain tapauksissa hyökkääjät lisäävät palomuuriin sallivia sääntöjä tietyille, heidän hallitsemilleen IP-osoitteille tai verkkotunnuksille. Toiset taas saattavat pyrkiä poistamaan lokitietojen keräämisen tai hälytystoiminnot, jotka auttaisivat tunnistamaan haitallista toimintaa. Analyysi korostaa, että jopa näennäisesti vaarattomat poikkeukset säännöissä voivat olla hyödynnettävissä haitallisten yhteyksien luomiseksi.