Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленники могут отключать или модифицировать системные брандмауэры, чтобы обойти средства контроля, ограничивающие использование сети. Изменения могут заключаться как в отключении всего механизма, так и в добавлении, удалении или модификации определенных правил. Это можно сделать различными способами в зависимости от операционной системы, в том числе через командную строку, редактирование ключей реестра Windows и панель управления Windows.
Изменение или отключение системного брандмауэра может позволить Злоумышленнику осуществлять C2-коммуникации, боковое перемещение и/или утечку данных, которые в противном случае не были бы разрешены. Например, Злоумышленники могут добавить новое правило брандмауэра для известного протокола (например, RDP), используя нетрадиционный и потенциально менее защищенный порт (например, Non-Standard Port).(Цитата: change_rdp_port_conti)
Злоумышленники также могут изменять сетевые настройки хоста, которые косвенно манипулируют системными брандмауэрами, например пропускную способность интерфейса или пороговые значения запросов сетевых соединений.(Цитата: Huntress BlackCat) Настройки, связанные с разрешением злоупотребления различными Remote Services, также могут косвенно изменять правила брандмауэра.
https://attack.mitre.org/techniques/T1562/004
Визуализация смежных техник для T1562.004
| № | Техника |
|---|
