Picus Security analyserar MITRE ATT&CK-tekniken T1562.004
Picus Security har lanserat en analys av tekniken T1562.004 "Impair Defenses: Disable or Modify System Firewall" inom MITRE ATT&CK®-ramverket. Tekniken tillåter angripare att kringgå säkerhetskontroller genom att manipulera brandväggsinställningar.
Cybersäkerhetsföretaget Picus Security har fördjupat sig i tekniken T1562.004 "Impair Defenses: Disable or Modify System Firewall" inom MITRE ATT&CK®-ramverket. Denna teknik beskriver hur nätverksbrandväggsinställningar manipuleras för att kringgå säkerhetsövervakning och underlätta skadlig aktivitet.
Angripare utnyttjar avstängning eller modifiering av brandväggar för att kringgå säkerhetsåtgärder, sprida sig lateralt inom ett nätverk, exfiltrera data eller upprätta bestående kommando-och-kontrollkanaler (C2) utan att upptäckas. Brandväggar är kritiska säkerhetsmekanismer som övervakar och kontrollerar nätverkstrafik och förhindrar obehörig åtkomst.
Picus Securitys analys visar hur angripare använder, till exempel, iptables-kommandon på Linux-system och netsh-verktyget på Windows för att ändra brandväggsregler eller till och med stänga av brandväggstjänsten helt. Rapporten lyfter fram exempel, såsom XMRig kryptovirus och Phobos ransomware, som har utnyttjat dessa tekniker.
I vissa fall lägger angripare till tillåtande regler i brandväggen för specifika IP-adresser eller domäner som de kontrollerar. Andra kan försöka inaktivera loggning eller larmfunktioner, vilka annars skulle hjälpa till att identifiera skadlig aktivitet. Analysen understryker att även till synes ofarliga undantag i reglerna kan utnyttjas för att etablera skadliga anslutningar.