Sabotaggio Firewall di Rete: Impair Defenses: Disable or Modify Network Device Firewall (T1562.013)

La compromissione di un firewall inizia sempre dall'accesso alla console di gestione. Su dispositivi Cisco ASA, dopo aver ottenuto credenziali valide, puoi verificare le regole esistenti con show access-list. Per aggiungere una regola che permette tutto il traffico da una subnet compromessa:

access-list OUTSIDE_IN extended permit ip 192.168.100.0 255.255.255.0 any
access-group OUTSIDE_IN in interface outside

Su firewall Palo Alto, l'approccio API è devastante. Ottieni prima la chiave API autenticandoti, poi crea regole permissive tramite chiamate REST. La modifica delle policy esistenti è ancora più subdola: cambiare una regola da "deny" a "allow" passa spesso inosservata.

Per simulare l'approccio di APT38, concentrati sulle porte critiche per il C2. Le porte 443 e 8443 sono perfette perché il traffico HTTPS sembra legittimo. Su pfSense puoi aggiungere eccezioni via shell:

pfctl -a firewall -f /tmp/evil_rules.conf

Il file evil_rules.conf conterrà regole tipo:
pass in quick on wan proto tcp from any to any port {443, 6443, 8443, 9443}

Windows Defender Firewall è un obiettivo comune nei breach aziendali. PowerShell offre cmdlet potenti per la manipolazione:
New-NetFirewallRule -DisplayName "Windows Update" -Direction Outbound -Action Allow -Protocol TCP -RemotePort 443

Il nome ingannevole "Windows Update" maschera la vera natura della regola. Per disabilitare completamente il firewall su tutti i profili: Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False.

La detection DET0306 identifica modifiche non autorizzate attraverso pattern comportamentali specifici. Il primo indicatore è l'origine della modifica: accessi da IP non presenti nella whitelist [TrustedAdminIPs] generano alert immediati. Console di gestione, jump box e VPN amministrative sono gli unici punti legittimi.

I log dei dispositivi di rete (networkdevice:Firewall) registrano ogni cambiamento di configurazione. Correla questi eventi con i flussi di rete (NSM:Flow) per identificare traffico anomalo post-modifica. Se vedi connessioni verso porte precedentemente bloccate subito dopo una modifica, hai trovato un attaccante.

Il parametro [ConfigChangeWindow] filtra le modifiche legittime durante le finestre di manutenzione programmate. Modifiche fuori orario, specialmente di notte o nei weekend, richiedono investigazione immediata. [RuleScopeThreshold] quantifica l'impatto: più di 5 regole modificate o range di porte superiori a 100 indicano sabotaggio sistematico.

Monitora attentamente i nuovi utenti che effettuano modifiche senza un percorso di privilege escalation documentato ([NewUserPrivilegeThreshold]). Account service compromessi che improvvisamente modificano firewall sono un red flag critico.

L'aggregazione temporale è fondamentale: 10 modifiche in 5 minuti non sono manutenzione ordinaria. Implementa threshold dinamici basati sul comportamento storico di ogni amministratore. Un admin che normalmente modifica 2-3 regole al mese e improvvisamente ne cambia 20 in un giorno merita attenzione.

I firewall mantengono log dettagliati di ogni modifica alla configurazione. Su dispositivi Cisco, il comando show archive log config all rivela la cronologia completa con timestamp, utente e comandi eseguiti. Cerca pattern come "no access-list" seguiti da nuove regole permissive.

I backup automatici della configurazione sono miniere d'oro forensi. Confronta le versioni prima e dopo l'incidente con tool di diff per identificare esattamente cosa è cambiato. Su Palo Alto, il file running-config.xml contiene l'intera configurazione con metadata di modifica.

Windows registra le modifiche firewall nell'Event Log con EventCode 4946 (regola aggiunta) e 4948 (regola eliminata). PowerShell logging cattura i cmdlet utilizzati, rivelando se l'attaccante ha usato tecniche di offuscamento o esecuzione remota.

Gli artefatti di Grandoreiro mostrano pattern specifici: cerca nel registro di Windows chiavi che bloccano eseguibili di sicurezza a livello firewall. La presenza di regole che targetizzano specificamente tool bancari indica compromissione finanziaria.

L'analisi del traffico di rete post-modifica rivela l'intento dell'attaccante. Flussi verso IP esterni su porte precedentemente bloccate indicano canali C2 attivati. Volume di dati anomalo verso destinazioni sconosciute suggerisce esfiltrazione in corso.

La correlazione temporale è critica: mappa le modifiche firewall con altri indicatori come login anomali, escalation di privilegi e movimenti laterali. APT38 tipicamente modifica il firewall entro 30 minuti dall'accesso iniziale per stabilire persistenza.

APT38 (Lazarus Group) rappresenta il profilo più documentato per questa tecnica. Il gruppo nordcoreano targetta istituzioni finanziarie con l'obiettivo di rubare fondi. Le porte 443, 6443, 8443 e 9443 non sono casuali: corrispondono a servizi HTTPS standard e alternativi usati per mascherare il traffico C2.

Il timing delle operazioni di APT38 segue pattern prevedibili. Modificano i firewall durante ore notturne del fuso orario target, minimizzando la detection. Post-compromissione, stabiliscono multiple backdoor su porte diverse per resilienza operativa.

Grandoreiro, malware bancario latinoamericano, rappresenta un approccio diverso. Invece di aprire porte per C2, blocca software di sicurezza specifici del settore bancario brasiliano. Questa targetizzazione geografica e settoriale indica operatori con conoscenza intima dell'ecosistema bancario locale.

L'overlap di tool tra gruppi che usano questa tecnica è minimo, suggerendo sviluppo custom per ogni operazione. La sofisticazione varia: APT38 modifica configurazioni manualmente post-accesso, mentre Grandoreiro automatizza il processo via malware.

I trend emergenti mostrano crescente interesse per firewall cloud-native e SD-WAN. Attaccanti evoluti stanno sviluppando capacità per modificare policy di sicurezza in ambienti virtualizzati, dove la detection è ancora immatura. La compromissione di firewall rimane gateway critico per operazioni di lungo termine contro target high-value.

Framework MITRE ATT&CK fornisce la tassonomia completa per T1562.013. Le operazioni di APT38 contro istituzioni finanziarie sono documentate in report del US-CERT. L'analisi di Grandoreiro proviene da ricerche di ESET e Kaspersky sui trojan bancari latinoamericani.