dc0043-firewall-disable

# DC0043 — Firewall Disable ## Descrição Firewall Disable (DC0043) registra a desativação, interrupção ou comprometimento de serviços de firewall — sejá em hosts individuais (Windows Firewall, iptables, ufw) ou em planos de controle de nuvem (AWS Security Groups, Azure NSG, GCP Firewall Rules). Este componente é diretamente associado à técnica [[t1562-impair-defenses|T1562 — Impair Defenses]], onde adversários removem ou enfraquecem controles de segurança para facilitar suas operações. A desativação de firewall é um dos primeiros passos de adversários após obter acesso privilegiado a um sistema. Sem o firewall ativo, tráfego C2 e movimentos laterais ficam sem barreira, e ferramentas de exploit podem se comunicar livremente. Em ambientes Windows, comandos como `netsh advfirewall set allprofiles state off` ou `Set-NetFirewallProfile -Enabled False` são frequentemente observados em logs de post-exploitation. Em ambientes cloud, a deleção ou modificação de regras em Security Groups (AWS) ou NSGs (Azure) para permitir acesso irrestrito (0.0.0.0/0 em todas as portas) é equivalente funcional à desativação do firewall e deve ser detectada como evento de alta prioridade. A deleção de logs de atividade do firewall para ocultar estas mudanças é uma segunda camada de evasão coberta por [[t1070-indicator-removal|Indicator Removal]]. O monitoramento contínuo do estado do serviço de firewall (não apenas eventos pontuais de desativação) é essencial — adversários podem desativar o firewall, executar operações e reativá-lo rapidamente para reduzir janelas de detecção. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Windows Firewall | Event ID 2004 — Firewall rule added | Regra adicionada (pode mascarar desativação efetiva) | | Windows | Windows Firewall | Event ID 2006 — Firewall rule deleted | Remoção de regras de proteção | | Windows | Windows Security | Event ID 4688 | Processo criado: `netsh`, `powershell` com args de firewall | | Windows | Sysmon | Event ID 1 — ProcessCreate | Linha de comando com flags de desativação de firewall | | Linux | auditd | syscall: `execve` + `iptables -F` / `ufw disable` | Comandos de flush de regras ou desativação | | Linux | systemd / journald | `systemctl stop ufw/firewalld` | Serviço de firewall parado | | macOS | Unified Log | `socketfilterfw` events | Alterações no Application Firewall do macOS | | Cloud (AWS) | CloudTrail | `RevokeSecurityGroupIngress`, `DeleteSecurityGroup` | Remoção de regras em Security Groups | | Cloud (Azure) | Activity Log | `Delete NetworkSecurityGroup/Rules` | Deleção de regras NSG | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Desativação de Windows Firewall via linha de comando DeviceProcessEvents | where ProcessCommandLine has_any ( "allprofiles state off", "advfirewall set", "Set-NetFirewallProfile", "netsh firewall set opmode disable" ) | project Timestamp, DeviceName, AccountName, ProcessCommandLine, InitiatingProcessFileName | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=wineventlog EventCode=4688 | where match(CommandLine, "(?i)(netsh.*firewall.*off|Set-NetFirewallProfile.*false|ufw disable|iptables -F|systemctl stop.*firewall)") | stats count by host, AccountName, CommandLine, _time | sort - _time ``` ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] — desativação direta de controles de segurança como firewall - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] — escalonamento de privilégios necessário para desativar firewalls - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso de conta privilegiada para executar a desativação ## Contexto LATAM > [!danger] Desativação de Firewall em Ataques ao Brasil > Em incidentes de ransomware no Brasil, a desativação do Windows Defender Firewall e do antivírus é quase universal na fase de preparação pré-criptografia. Comandos executados por scripts PowerShell ou via PsExec frequentemente incluem desativação de firewall como primeiro passo. SOCs brasileiros devem criar alertas de prioridade crítica para qualquer processo que modifique o estado do firewall fora de janelas de manutenção autorizadas. Correlacione com [[t1562-impair-defenses|Impair Defenses]] e criação de processos suspeitos para detecção precoce. ## Referências - [MITRE ATT&CK — DS0018 Firewall](https://attack.mitre.org/datasources/DS0018/) - [T1562.004 — Disable or Modify System Firewall](https://attack.mitre.org/techniques/T1562/004/) - [Windows Firewall Event Logs](https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/configuring-the-windows-firewall-log)