det0306-unauthorized-network-firewall-rule-modification-t1562013

# DET0306 — Unauthorized Network Firewall Rule Modification (T1562.013) ## Descrição Esta estratégia detecta modificações não autorizadas em regras de firewall de rede — em appliances físicos/virtuais, firewalls de host (Windows Firewall, iptables, nftables) e security groups de cloud — correspondente à sub-técnica `T1562.013`. Adversários modificam regras de firewall para abrir portas de acesso remoto, permitir comunicação C2, ou bloquear tráfego de ferramentas de segurança que tentam comunicar com infraestrutura de atualização. Os indicadores incluem adição de regras de `ACCEPT`/`ALLOW` em iptables ou Windows Firewall por processos não administrativos legítimos, modificação de security groups em AWS/Azure/GCP para permitir acesso irrestrito (0.0.0.0/0) a portas sensíveis (22, 3389, 5985), e uso de comandos `netsh advfirewall`, `firewall-cmd` ou APIs de cloud para abertura de portas não documentadas. Logs de auditoria de dispositivos de rede (syslog, SNMP traps) e CloudTrail são fontes primárias. Grupos de ransomware frequentemente modificam regras de firewall para garantir acesso ao C2 e bloquear atualizações de antivírus. [[g0096-apt41|APT41]] é conhecido por modificar regras de firewall em roteadores e appliances para criar backdoors persistentes que sobrevivem a reimplementações de sistema operacional nos hosts. ## Indicadores de Detecção - `netsh advfirewall firewall add rule` permitindo tráfego de entrada em porta não-padrão - `iptables -I INPUT 1 -j ACCEPT` ou `nft add rule inet filter input accept` executado por processo não-root de gerenciamento - Modificação de security group AWS/GCP/Azure abrindo `0.0.0.0/0` em porta SSH/RDP/WinRM - Regra de firewall adicionada que bloqueia comunicação de processo de segurança (AV updaté, EDR beacon) - Configuração de firewall de rede modificada via SNMP SET ou API sem ticket de mudança correspondente - `ufw allow` ou `firewall-cmd --permanent --add-port` executado por script não identificado ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] ## Analytics Relacionadas - [[an0855-analytic-0855|AN0855 — Analytic 0855]] --- *Fonte: [MITRE ATT&CK — DET0306](https://attack.mitre.org/detectionstrategies/DET0306)*