Picus Security analyse la technique MITRE ATT&CK T1562.004
Picus Security a publié une analyse de la technique MITRE ATT&CK® T1562.004, "Impair Defenses: Disable or Modify System Firewall". Cette technique permet aux attaquants de contourner les contrôles de sécurité en manipulant les paramètres du pare-feu.
La société de cybersécurité Picus Security a détaillé la technique T1562.004 du framework MITRE ATT&CK®, intitulée "Impair Defenses: Disable or Modify System Firewall". Cette technique décrit comment les configurations de pare-feu réseau sont manipulées pour contourner la surveillance de la sécurité et faciliter les activités malveillantes.
Les attaquants exploitent la désactivation ou la modification des pare-feu pour contourner les mesures de sécurité, se déplacer latéralement au sein d'un réseau, exfiltrer des données ou établir des canaux de commande et de contrôle (C2) persistants sans être détectés. Les pare-feu sont des mécanismes de sécurité essentiels conçus pour surveiller et contrôler le trafic réseau, empêchant ainsi tout accès non autorisé.
L'analyse de Picus Security démontre comment les attaquants utilisent des commandes telles que iptables sous Linux et l'utilitaire netsh sous Windows pour modifier les règles du pare-feu, voire désactiver complètement le service de pare-feu. Le rapport met en évidence des exemples tels que le cryptomineur XMRig et le rançongiciel Phobos, qui ont exploité ces méthodes.
Dans certains cas, les attaquants ajoutent des règles permissives aux pare-feu pour des adresses IP ou des domaines spécifiques qu'ils contrôlent. D'autres peuvent tenter de désactiver la journalisation ou les fonctions d'alerte qui aideraient normalement à détecter les activités malveillantes. L'analyse souligne que même des exceptions apparemment inoffensives dans les règles de pare-feu peuvent être exploitées pour établir des connexions malveillantes.