Disabilita Firewall: Disable or Modify System Firewall (T1562.004)

La simulazione di questa tecnica inizia sempre con una ricognizione dello stato corrente del firewall. Su Windows, il comando più versatile rimane netsh advfirewall show allprofiles che mostra lo stato di tutti i profili firewall attivi.

Per disabilitare completamente Windows Firewall, l'approccio classico utilizza: netsh advfirewall set allprofiles state off

Tuttavia, un attaccante sofisticato preferisce modifiche chirurgiche. APT38 ha dimostrato questa sottigliezza aprendo porte specifiche come 443, 6443, 8443 e 9443. Il comando per replicare questo comportamento: netsh advfirewall firewall add rule name="Windows Update Service" dir=in action=allow protocol=TCP localport=8443

Su sistemi Linux, la manipolazione di iptables offre flessibilità simile. TeamTNT ha semplicemente disabilitato iptables completamente, mentre attaccanti più sofisticati modificano regole specifiche: iptables -I INPUT -p tcp --dport 4444 -j ACCEPT iptables-save > /etc/iptables/rules.v4

Per macOS, l'approccio varia tra socketfilterfw per il firewall applicativo e pfctl per il packet filter. La disabilitazione completa: sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate off

Su ESXi, UNC3886 ha dimostrato l'efficacia di: esxcli network firewall set --enabled false esxcli network firewall ruleset set -r sshClient -e true

La persistenza delle modifiche rappresenta un aspetto critico. Su Windows, le modifiche via netsh sono immediatamente persistenti. Su Linux, assicurati di salvare le regole iptables. Su macOS, considera l'uso di launchd per mantenere le modifiche dopo il riavvio.

Il rilevamento efficace richiede un approccio multilivello che combini monitoraggio dei processi, analisi dei log di sistema e correlazione comportamentale. La chiave sta nel distinguere le modifiche legittime da quelle malevole attraverso contesto e frequenza.

Su Windows, Sysmon offre visibilità granulare sui processi che interagiscono con il firewall. L'EventCode 1 (Process Creation) cattura l'esecuzione di netsh.exe con parametri sospetti. Un filtro Sysmon efficace monitora:

• CommandLine contenente "advfirewall" e "state off"
• CommandLine contenente "firewall add rule" con porte non standard

Il registro di Windows fornisce un secondo layer di detection. Modifiche sotto HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy generano eventi di audit che possono essere correlati con l'attività dei processi.

Per Linux, auditd rappresenta lo strumento principale. Una regola auditd per monitorare modifiche iptables: -w /sbin/iptables -p x -k firewall_changes

La correlazione temporale diventa fondamentale. Medusa Group ha mostrato pattern di modifiche firewall seguite immediatamente da connessioni RDP. Questo comportamento sequenziale dovrebbe triggerare alert ad alta priorità.

Su ESXi, il monitoraggio dei log hostd cattura modifiche via API vSphere. Pattern sospetti includono disabilitazione completa del firewall o apertura di range di porte estesi.

I falsi positivi rappresentano la sfida principale. Strumenti di gestione legittimi modificano regolarmente il firewall. La baseline delle modifiche autorizzate diventa essenziale, documentando quali account e da quali origini possono legittimamente alterare le configurazioni firewall.

L'analisi forense delle modifiche firewall richiede la correlazione di molteplici artefatti per ricostruire con precisione la sequenza temporale dell'attacco. Gli artefatti principali variano significativamente tra sistemi operativi.

Su Windows, il registro offre persistenza storica delle configurazioni firewall. Le chiavi sotto HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile mantengono traccia delle regole e dello stato. Il registro di sistema Windows Firewall (%systemroot%\system32\LogFiles\Firewall\pfirewall.log) quando abilitato, registra connessioni bloccate e permesse.

L'Event Log di Windows cattura modifiche amministrative. Gli EventID 4946-4948 nel Security log documentano modifiche alle regole firewall con timestamp precisi. La correlazione con Sysmon EventID 1 rivela quale processo ha effettuato le modifiche.

Operation Wocao ha dimostrato l'importanza della timeline analysis. Gli attaccanti hanno utilizzato PowerShell per aggiungere e rimuovere regole firewall in finestre temporali specifiche, probabilmente per evitare detection durante operazioni critiche.

Su Linux, i log di sistema in /var/log/messages o /var/log/syslog catturano modifiche iptables. Il file /etc/iptables/rules.v4 mostra la configurazione salvata, ma potrebbe non riflettere modifiche runtime non persistenti.

Per ESXi, l'analisi forense si concentra sui log in /var/log/hostd.log e /var/log/shell.log. UNC3886 ha lasciato tracce evidenti attraverso comandi esxcli nei log di shell, permettendo la ricostruzione precisa delle loro attività.

La correlazione temporale con altri indicatori risulta fondamentale. Le modifiche firewall spesso precedono immediatamente l'instaurazione di canali C2 o movimenti laterali, fornendo context cruciale per comprendere gli obiettivi dell'attaccante.

L'analisi dei gruppi APT che utilizzano questa tecnica rivela pattern comportamentali distintivi e preferenze operative che guidano le previsioni di evoluzione tattica.

Lazarus Group dimostra l'approccio più aggressivo, disabilitando completamente il firewall o modificandolo per permettere connessioni in entrata. Questa mancanza di sottigliezza suggerisce operazioni con obiettivi di impatto immediato piuttosto che persistenza a lungo termine. La loro toolchain include varianti di malware che automatizzano queste modifiche.

Carbanak e FIN7 mostrano maggiore sofisticazione operativa. Carbanak aggiunge eccezioni localizzate, mentre FIN7 apre porte specifiche (TCP 59999, SSH su 9898) indicando infrastrutture C2 predefinite. Questo pattern suggerisce operazioni pianificate con infrastrutture dedicate.

Magic Hound (APT35) ha standardizzato l'apertura della porta RDP 3389, rivelando preferenze per accesso interattivo post-compromissione. La loro consistenza operativa attraverso campagne multiple indica procedure operative standard consolidate.

UNC3886 rappresenta l'evoluzione verso ambienti virtualizzati, specificamente targeting ESXi con utility custom come TABLEFLIP. Questo shift verso infrastrutture core suggerisce evoluzione delle capacità offensive verso obiettivi di maggior valore.

L'analisi geografica mostra concentrazioni specifiche: gruppi medio-orientali (OilRig, Magic Hound) favoriscono modifiche RDP, mentre gruppi dell'Asia orientale (Lazarus, Kimsuky) preferiscono disabilitazione completa. Gruppi occidentali come FIN7 mostrano approcci più mirati e meno distruttivi.

La convergenza di tool tra gruppi diversi, come l'uso universale di netsh su Windows, indica condivisione di conoscenze o possibili collaborazioni. L'emergere di utility specifiche per ESXi suggerisce investimenti in R&D per target di alto valore.

Framework MITRE ATT&CK documenta dettagliatamente questa tecnica con esempi da Operation Wocao, SolarWinds Compromise, Leviathan Australian Intrusions e APT28 Nearest Neighbor Campaign. Risorse di detection includono Sigma rules per Sysmon e strategie di correlazione multi-piattaforma per identificare pattern di modifica firewall anomali.