Firewall Disattivato, Difese Azzerate: Disable or Modify System Firewall (T1562.004)

Il modo più efficace per testare la resilienza di un'organizzazione a questa tecnica è simulare esattamente ciò che fanno i gruppi APT documentati. Il punto di partenza è quasi sempre netsh (open source, nativo Windows), lo stesso strumento usato da almeno sette gruppi e decine di famiglie malware.

Su un host Windows compromesso in laboratorio, la prima operazione è disabilitare completamente tutti i profili firewall. Il comando nativo è diretto:

netsh advfirewall set allprofiles state off

Più interessante dal punto di vista red team è replicare la tecnica di ToddyCat, che non disabilita il firewall ma aggiunge una regola chirurgica per aprire un singolo porto UDP in ingresso, mimetizzandola con un nome plausibile:

netsh advfirewall firewall add rule name="SGAccessInboundRule" dir=in protocol=udp action=allow localport=49683

Per simulare l'approccio di Magic Hound, che apre RDP su una porta standard mascherandolo come servizio legittimo:

netsh advfirewall firewall add rule name="Terminal Server" dir=in action=allow protocol=TCP localport=3389

L'equivalente PowerShell — utile per testare detection su canali diversi — sfrutta il modulo NetSecurity (nativo da Windows 8/Server 2012):

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

Per aggiungere regole selettive, come faceva APT38 con porte multiple:

New-NetFirewallRule -DisplayName "WebServices" -Direction Inbound -Protocol TCP -LocalPort 443,6443,8443,9443 -Action Allow

Su Linux, la simulazione della tecnica di TeamTNT è ancora più spartana. Basta un flush completo delle catene iptables seguito dalla policy ACCEPT:

iptables -F && iptables -P INPUT ACCEPT && iptables -P FORWARD ACCEPT && iptables -P OUTPUT ACCEPT

Per ambienti ESXi, replicando l'operatività di UNC3886:

esxcli network firewall set --enabled false

Sul versante macOS, per disabilitare il firewall applicativo:

sudo defaults write /Library/Preferences/com.apple.alf globalstate -int 0

Oppure per disabilitare il filtro PF:

sudo pfctl -d

Un buon esercizio red team prevede di concatenare la modifica firewall con l'azione successiva — ad esempio aprire una porta, lanciare un reverse shell su quella porta, e verificare se il SOC rileva la catena completa o solo un segmento. Tool come Atomic Red Team (open source) includono test predefiniti per T1562.004 che automatizzano questa sequenza e ne verificano la pulizia post-esecuzione.

La detection di questa tecnica è tra le più gratificanti in un SOC perché l'azione è rumorosa — a patto di ascoltare nei posti giusti. Il problema non è trovare il segnale, ma filtrare il rumore legittimo degli amministratori di sistema.

Windows è il terreno più ricco. Le due sorgenti imprescindibili sono i log Security (WinEventLog:Security) e Sysmon (WinEventLog:Sysmon). Il primo indicatore è il processo: ogni esecuzione di netsh.exe con argomenti che contengono advfirewall, firewall, add rule o set allprofiles state off deve generare un alert. In Sysmon, l'EventCode 1 (Process Creation) cattura la command line completa — è qui che si distingue un admin che aggiunge una regola per un servizio noto da un attaccante che apre la porta 49683 in UDP.

Il secondo livello è il registro di sistema. La chiave HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy è il cuore della configurazione firewall. Sysmon EventCode 13 (Registry Value Set) segnala ogni modifica. Un approccio efficace è monitorare il valore EnableFirewall sotto i sottoalberi StandardProfile, DomainProfile e PublicProfile: quando passa da 1 a 0, il firewall è stato disabilitato. ZxShell usa esattamente questa tecnica.

Per il tuning, la chiave è la whitelist. Censire preventivamente quali account, script e strumenti di gestione (SCCM, Ansible, GPO push) modificano legittimamente le regole firewall. Ogni modifica fuori da questa lista merita un alert di severità media. Se la modifica avviene fuori orario lavorativo o da un processo figlio di cmd.exe o powershell.exe lanciato come child di un processo inatteso (Word, Excel, un browser), la severità sale a critica.

Su Linux, il focus è su auditd. Una regola audit sulla syscall execve filtrata per i binari iptables, ip6tables, nftables e firewall-cmd cattura ogni tentativo di modifica. Con osquery (open source) si può interrogare periodicamente lo stato delle regole attive e confrontarlo con una baseline, rilevando drop improvvisi nel numero di regole — un indicatore tipico del flush operato da TeamTNT o da Cyclops Blink.

Su ESXi, i log hostd registrano le chiamate a esxcli network firewall. Un alert su qualsiasi invocazione di firewall set --enabled false o firewall ruleset set --allowed-all true da sessioni SSH non riconosciute è un indicatore ad alta fedeltà. In ambienti vSphere, monitorare le API di modifica firewall e correlare con gli account autorizzati completa la copertura.

Per macOS, il Unified Log cattura le invocazioni di pfctl e le modifiche a com.apple.alf. Un alert su socketfilterfw --setglobalstate off è specifico e a bassissimo tasso di falsi positivi.

L'analisi forense di una modifica firewall è spesso il tassello che spiega perché un canale C2 ha funzionato o come il movimento laterale è avvenuto su una porta che doveva essere chiusa. L'obiettivo è ricostruire la sequenza: chi ha modificato cosa, quando, e quale azione è seguita.

Su Windows, il punto di partenza sono i log Sysmon. L'EventCode 1 fornisce il processo padre, la command line completa e il timestamp esatto dell'esecuzione di netsh.exe o powershell.exe. È fondamentale ricostruire l'albero dei processi: se netsh è figlio di cmd.exe che a sua volta è figlio di wmiprvse.exe o psexesvc.exe, si tratta di esecuzione remota — esattamente il pattern di Medusa Group che usava PsExec per lanciare batch script di modifica firewall su macchine remote.

Il registro di sistema è un artefatto persistente. La chiave HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules contiene ogni regola aggiunta. In un'immagine forense, confrontare il contenuto di questa chiave con la baseline aziendale rivela le regole anomale. L'EventCode 13 di Sysmon, se abilitato, fornisce il timestamp di ogni modifica al valore EnableFirewall — la prova diretta della disabilitazione.

Per le regole del Windows Firewall con Advanced Security, il log dedicato è il Microsoft-Windows-Windows Firewall With Advanced Security/Firewall (EventID 2004 per regole aggiunte, 2006 per regole eliminate, 2003 per modifiche al profilo). Questi eventi sono nativi e non richiedono Sysmon, il che li rende disponibili anche su sistemi non instrumentati.

Su Linux, l'artefatto primario è il log auditd. Le righe con SYSCALL e EXECVE relative ai binari iptables/nftables contengono UID, PID, e argomenti completi. Se auditd non era configurato, un'alternativa è controllare la cronologia dei comandi (~/.bash_history, ~/.zsh_history) — con la consapevolezza che un avversario esperto la cancella. Lo stato corrente delle regole firewall (iptables -L -n -v) va acquisito il prima possibile perché è volatile.

Per ESXi, i file di log hostd.log e shell.log nella directory /var/log/ registrano le sessioni SSH e i comandi eseguiti, incluse le invocazioni di esxcli. UNC3886 è un caso esemplare: la correlazione tra la modifica firewall ESXi e il deployment dell'utility TABLEFLIP permette di collegare l'evasione difensiva al successivo redirect del traffico.

La ricostruzione della timeline segue un flusso logico: prima l'accesso iniziale, poi l'escalation dei privilegi (necessaria per modificare il firewall), quindi la modifica stessa, e infine l'azione abilitata — apertura C2, RDP laterale, o esfiltrazione. Nella SolarWinds Compromise (C0024), APT29 usò netsh per limitare pacchetti UDP in uscita, un uso difensivo-offensivo del firewall per controllare quali dati lasciavano l'host compromesso.

La modifica del firewall di sistema è una tecnica trasversale: la usano gruppi con motivazioni finanziarie, operatori di spionaggio statale e perfino cryptominer. L'analisi dei 17 gruppi documentati rivela pattern geografici e operativi distinti.

Lazarus Group e Kimsuky, entrambi attribuiti alla Corea del Nord, impiegano questa tecnica in modo complementare. Lazarus modifica il firewall Windows tramite netsh per consentire connessioni in ingresso o disabilitarlo interamente — un approccio aggressivo coerente con operazioni distruttive e finanziarie. Kimsuky si limita a disabilitare il firewall di sistema, spesso come passo preparatorio per il deployment di RAT e strumenti di ricognizione. Nella stessa orbita si colloca APT38, che crea eccezioni firewall su porte specifiche (443, 6443, 8443, 9443), rivelando un'architettura C2 multi-canale tipica delle operazioni contro il settore finanziario.

L'asse iraniano presenta OilRig e Magic Hound, entrambi focalizzati sulla modifica di regole Windows per abilitare accesso remoto. Magic Hound ha una firma operativa riconoscibile: crea regole con nomi apparentemente legittimi come "Terminal Server" per mascherare l'apertura della porta RDP 3389. Moses Staff, altro gruppo iraniano, automatizza la disabilitazione tramite batch script su macchine remote — un approccio orientato al sabotaggio più che allo spionaggio.

Sul fronte russo-cinese, il panorama è più sofisticato. Nella campagna APT28 Nearest Neighbor (C0051), APT28 ha aggiunto regole firewall per creare catene di port-forwarding attraverso reti Wi-Fi compromesse — un uso creativo della tecnica come enabler per la prossimità fisica. APT29 durante la SolarWinds Compromise (C0024) ha invece usato netsh in modo più sottile, limitando traffico UDP in uscita per controllare l'esfiltrazione. Salt Typhoon opera a livello di ACL e interfacce di loopback sui dispositivi di rete, mentre UNC3886 combina modifiche firewall ESXi con utility custom come TABLEFLIP — un livello di sofisticazione che punta direttamente all'infrastruttura di virtualizzazione. Velvet Ant segue un pattern simile, modificando firewall durante l'installazione di PlugX per aprire porte ad alto numero randomizzato.

Dragonfly rappresenta il profilo energy-sector: disabilita firewall host e apre globalmente la porta 3389, privilegiando la velocità operativa sulla stealth. FIN7, con motivazione finanziaria, mostra maggiore raffinatezza aggiungendo regole per porte non standard (59999, 9898 con SSH).

Il pattern emergente è chiaro: i gruppi più sofisticati (APT29, UNC3886, Salt Typhoon) non disabilitano il firewall — lo modificano chirurgicamente. Quelli con obiettivi distruttivi o di cryptomining (Rocke, TeamTNT) lo disattivano completamente o flushano le regole. Per il threat intelligence officer, questa distinzione è un indicatore di attribuzione: un flush completo di iptables con blocco di pool minerari suggerisce un attore orientato al cryptojacking, mentre una regola UDP su porta alta con nome plausibile punta a un APT di spionaggio.

Framework MITRE ATT&CK v16 — Tecnica T1562.004 (Defense Evasion, TA0005). Campagne: C0051 (APT28 Nearest Neighbor Campaign), C0014 (Operation Wocao), C0049 (Leviathan Australian Intrusions), C0024 (SolarWinds Compromise). Detection: Sysmon (open source), auditd (open source), osquery (open source). Integrato con conoscenza professionale per tool e procedure operative.