det0145-detection-of-disabled-or-modified-system-firewalls-across-os-platforms

# DET0145 — Detection of Disabled or Modified System Firewalls across OS Platforms ## Descrição Esta estratégia detecta desativação ou modificação não autorizada de firewalls de host (T1562.004) em Windows, Linux e macOS. Adversários desativam ou contornam firewalls locais para permitir comunicação de entrada/saída do malware sem bloqueio, ou para facilitar movimentação lateral. É uma das primeiras ações de um adversário após comprometimento inicial em muitas campanhas de ransomware e APT. Em Windows, os comandos mais comuns são `netsh advfirewall set allprofiles state off` e `sc stop MpsSvc` (serviço Windows Firewall). Em Linux, `iptables -F` (flush all rules), `ufw disable`, `systemctl stop firewalld`. Em macOS, `/usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate off`. Esses comandos por processos não-administrativos legítimos são de alta fidelidade. A telemetria inclui Windows Event ID 2003/2004 (alteração de configuração de firewall), Event ID 5025/7036 (serviço de firewall parado), Sysmon Event ID 1 para comandos `netsh advfirewall`, auditd para chamadas de `iptables`/`nftables` em Linux, e EDR para modificação de configuração de firewall macOS. Monitoramento de integridade contínua do estado do firewall via GPO ou compliance scan complementa. ## Indicadores de Detecção - `netsh advfirewall set allprofiles state off` executado por processo não-GPO - `sc stop MpsSvc` ou `sc config MpsSvc start=disabled` por conta não-administrativa - `iptables -F` ou `ufw disable` em servidor Linux sem change ticket correspondente - Windows Event ID 2003 (firewall rule added) para regra permitindo `any` tráfego de entrada - `socketfilterfw --setglobalstate off` no macOS por processo não-system-preferences ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] ## Analytics Relacionadas - [[an0406-analytic-0406|AN0406 — Analytic 0406]] - [[an0407-analytic-0407|AN0407 — Analytic 0407]] - [[an0408-analytic-0408|AN0408 — Analytic 0408]] - [[an0409-analytic-0409|AN0409 — Analytic 0409]] - [[an0410-analytic-0410|AN0410 — Analytic 0410]] --- *Fonte: [MITRE ATT&CK — DET0145](https://attack.mitre.org/detectionstrategies/DET0145)*