t1562-004-disable-or-modify-system-firewall

# T1562.004 - Disable or Modify System Firewall ## Técnica Pai Esta é uma sub-técnica de [[t1562-impair-defenses|T1562 - T1562 - Impair Defenses]]. ## Descrição Adversários desabilitam ou modificam firewalls de sistema para contornar controles que limitam o tráfego de rede - sejá para estabelecer comunicação de comando e controle, facilitar movimentação lateral ou preparar exfiltração de dados. A técnica abrange desde a desativação completa do mecanismo (ex: `netsh advfirewall set allprofiles state off` no Windows, `ufw disable` no Linux) até a adição, remoção ou modificação de regras específicas que permitem tráfego antes bloqueado. Em ambientes Windows, as mudanças podem ocorrer via linha de comando, alteração de chaves do registro em `HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy`, ou pelo Painel de Controle. A subtécnica é parte da técnica-pai [[t1562-*|T1562 - Impair Defenses]] e frequentemente acompanha o uso de [[t1571-non-standard-port|T1571 - Non-Standard Port]]: o adversário adiciona uma nova regra de firewall para um protocolo conhecido (como RDP) operando em porta não convencional, passando despercebido por regras baseadas em porta. Em ambientes ESXi, as modificações ocorrem via `esxcli network firewall set` ou pela interface do vCenter, permitindo ao adversário abrir caminhos diretos ao hipervisor. Modificações em configurações de rede do host - como thresholds de requisições ou bandwidth - também podem indiretamente alterar regras de firewall, especialmente em dispositivos de rede. O [[t1021-remote-services|Remote Services]] frequentemente se beneficia dessas modificações. **Contexto Brasil/LATAM:** No cenário brasileiro, grupos como [[g0008-carbanak|Carbanak]] e [[g1051-medusa-ransomware|Medusa Group]] utilizam desativação de firewall como etapa obrigatória em ataques a instituições financeiras. O [[g0139-teamtnt|TeamTNT]], especializado em ambientes cloud e containers, frequentemente desabilita `iptables` e `ufw` em instâncias Linux da AWS e Azure para abrir comunicação com seus mineradores de criptomoeda - padrão observado em várias empresas brasileiras de médio porte que migraram para cloud sem reforçar controles de segurança. O [[g1045-salt-typhoon|Salt Typhoon]], grupo chinês responsável por grandes comprometimentos de telecomúnicações, também utiliza essa técnica para manter acesso persistente a roteadores e switches em provedores de internet - relevante dado o alvo histórico do grupo em infraestruturas de telecom na América Latina. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 2003 | Windows Firewall | Configuração do firewall foi alterada - log nativo do Windows Firewall | | 2004 | Windows Firewall | Regra adicionada ao firewall | | 2006 | Windows Firewall | Regra deletada do firewall | | 4688 | Windows Security | Criação de processo - monitorar `netsh.exe` com argumentos de firewall | | 13 | Sysmon | Registry value set - alterações em `FirewallPolicy` no registro | | 12 | Sysmon | Registry object created/deleted - novas chaves em `FirewallPolicy` | **Sigma Rule:** ```yaml title: System Firewall Disabled or Modified id: c5f3e2a1-7d8b-9e0f-1a2b-3c4d5e6f7a8b status: stable description: > Detecta desativação ou modificação de firewall do sistema Windows via netsh, PowerShell ou alteração direta do registro. Técnica usada por Carbanak, TeamTNT, Salt Typhoon e outros grupos para evasão de defesas. references: - [[t1562-004-disable-or-modify-system-firewall]] author: RunkIntel daté: 2026-03-24 tags: - attack.defense_evasion - attack.t1562.004 logsource: category: process_creation product: windows detection: selection_netsh_disable: Image|endswith: '\netsh.exe' CommandLine|contains|all: - 'advfirewall' - 'set' CommandLine|contains: - 'state off' - 'state=off' selection_netsh_rule: Image|endswith: '\netsh.exe' CommandLine|contains|all: - 'firewall' - 'add rule' selection_powershell_disable: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Set-NetFirewallProfile' CommandLine|contains: - '-Enabled False' - 'Enabled False' condition: 1 of selection_* falsepositives: - Scripts de provisionamento via GPO ou SCCM - Ferramentas de gerenciamento como Ansible, Chef, Puppet - Administradores realizando manutenção documentada level: high ``` ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Elevação de Privilégio] B --> C["T1562.004 - Disable Firewall"]:::técnica C --> D[Regra Adicionada ou Firewall Desabilitado] D --> E[C2 Estabelecido - T1008] D --> F[Movimento Lateral - T1021] D --> G[Exfiltração de Dados] classDef técnica fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** Após obter acesso privilegiado ao sistema, o adversário identifica qual mecanismo de firewall está ativo na plataforma alvo. No Windows, verifica o estado do Windows Defender Firewall via `netsh advfirewall show allprofiles`; em Linux, identifica se `iptables`, `nftables`, `ufw` ou `firewalld` estão em uso; em ESXi, avalia as regras via `esxcli network firewall ruleset list`. Com essa informação, planejá a modificação mínima necessária para abrir o tráfego desejado sem gerar alertas desnecessários - preferêncialmente adicionando uma regra pontual ao invés de desabilitar o firewall por completo, o que seria mais facilmente detectável. **2. Execução** No Windows, a execução mais comum envolve `netsh advfirewall firewall add rule name="Svchost" dir=in action=allow protocol=TCP localport=4444` para abrir uma porta de backdoor, ou `Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False` via PowerShell para desabilitar completamente. O [[s0108-netsh|netsh]] é a ferramenta mais documentada para essa finalidade e aparece em práticamente todas as famílias de malware que usam esta técnica. Em Linux, o [[g0106-rocke|Rocke]] e o [[g0139-teamtnt|TeamTNT]] utilizam `iptables -F` (flush de todas as regras) seguido de `iptables -P INPUT ACCEPT` para abrir completamente o tráfego. Em dispositivos ESXi, o [[g1048-unc3886|UNC3886]] usa `esxcli network firewall set --enabled false` para desabilitar o firewall do hipervisor. **3. Pós-execução** Com o caminho de rede aberto, o adversário estabelece a comunicação desejada - sejá um shell reverso, conexão RDP lateral, ou canal C2. Em alguns casos, o firewall é reativado após a operação para dificultar detecção retrospectiva, mantendo apenas as regras adicionadas pelo adversário. O [[s1211-hannotog|Hannotog]], malware associado ao [[g1045-salt-typhoon|Salt Typhoon]], é documentado por restaurar o estado original do firewall após abrir uma porta temporária de comunicação. ## Detecção > [!warning] Indicadores de Detecção > Qualquer modificação em estado ou regras de firewall por processos que não sejam ferramentas administrativas legítimas (SCCM, GPO, Ansible) deve gerar alerta imediato. Desativação completa do firewall é crítica. ## Mitigação | Controle | Mitigação | Recomendação para Organizações Brasileiras | |----------|-----------|---------------------------------------------| | [[m1047-audit\|M1047 - Audit]] | Auditoria de configurações de firewall | Implementar monitoramento contínuo do estado do Windows Defender Firewall e `iptables`/`ufw` em servidores Linux; exportar estado para SIEM a cada 15 minutos para comparação com baseline | | [[m1018-user-account-management\|M1018 - User Account Management]] | Controle de contas com permissão de modificar firewall | Restringir via GPO quais contas podem modificar regras de firewall; separar conta de administrador de domínio da conta de administrador local - prática crítica em ambientes de PME brasileiras | | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Proteção das chaves de registro do firewall | Aplicar ACLs restritivas em `HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess`; auditar tentativas de escrita via auditoria de objeto do Windows | | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Permissões em scripts e binários de firewall | Bloquear execução de `netsh.exe` via AppLocker ou WDAC para contas não administrativas; criar regra de allowlist para uso apenas por processos SYSTEM e contas administrativas aprovadas | | Compliance BACEN/LGPD | Conformidade regulatória brasileira | Organizações do setor financeiro sujeitas à Resolução BACEN 4.893 devem documentar e alertar sobre qualquer modificação de controles de segurança de rede; manter logs por no mínimo 5 anos | ## Threat Actors - [[g0008-carbanak|Carbanak]] - Grupo de crime financeiro que desabilita firewalls em bancos e processadoras de pagamento para estabelecer acesso remoto persistente via VNC e RDP; responsável por perdas superiores a US$ 1 bilhão em ataques a instituições financeiras globais, incluindo bancos brasileiros - [[g1045-salt-typhoon|Salt Typhoon]] - APT chinês focado em telecomúnicações que modifica regras de firewall em roteadores e switches para manter acesso de longo prazo a infraestruturas de provedores de internet; relevante para operadoras de telecom brasileiras - [[g0106-rocke|Rocke]] - Grupo de cryptomining que usa `iptables -F` para desabilitar completamente firewalls Linux em instâncias cloud antes de instalar mineradores de Monero - [[g0139-teamtnt|TeamTNT]] - Grupo especializado em containers Docker e Kubernetes que desabilita firewalls de host para comunicação com C2 em campanhas de cryptomining em nuvens AWS e Azure - [[g0035-dragonfly|Dragonfly]] - APT com foco em infraestrutura crítica de energia que modifica firewalls para abrir caminhos de acesso a sistemas SCADA/OT - relevante para o setor elétrico e petrolífero brasileiro - [[g1009-moses-staff|Moses Staff]] - Grupo com motivação político-destrutiva que desabilita firewalls como parte de sua cadeia de destruição de dados em alvos governamentais - [[g1022-toddycat|ToddyCat]] - APT que utiliza modificação de firewall em conjunto com [[t1021-remote-services|Remote Services]] para movimentação lateral em redes governamentais asiáticas - [[g1048-unc3886|UNC3886]] - Cluster especializado em ESXi que desabilita o firewall do hipervisor para comprometer múltiplas VMs a partir de um único ponto de acesso ao host - [[g0049-oilrig|OilRig]] - Grupo iraniano que usa regras de firewall customizadas para abrir canais de comunicação alternativos em sua infraestrutura de C2 multicamadas - [[g1051-medusa-ransomware|Medusa Group]] - Operadores de ransomware ativos no Brasil que desabilitam Windows Firewall como etapa de pré-criptografia para facilitar propagação lateral via SMB ## Software Associado - [[s1223-thincrust|THINCRUST]] - Implante que modifica regras de firewall para permitir comunicação com C2 em portas não convencionais - [[s0260-invisimole|InvisiMole]] - Malware espião que desabilita ou modifica firewall para garantir canais de exfiltração persistentes - [[s1211-hannotog|Hannotog]] - Backdoor associado ao [[g1045-salt-typhoon|Salt Typhoon]] que abre temporariamente portas de firewall para comunicação e as fecha após uso para dificultar detecção - [[s0336-nanocore|NanoCore]] - RAT que modifica Windows Firewall para permitir conexões de entrada do painel de controle remoto - [[badcall|BADCALL]] - Backdoor do [[g0032-lazarus-group|Lazarus Group]] que desabilita firewall antes de abrir servidor de escuta em porta alta - [[s1181-blackbyte-20-ransomware|BlackByte 2.0 Ransomware]] - Ransomware que desabilita Windows Firewall como etapa de preparação para propagação via SMB e criptografia - [[s1178-shrinklocker|ShrinkLocker]] - Malware destrutivo que modifica configurações de rede e firewall antes de executar criptografia via BitLocker - [[s0132-h1n1|H1N1]] - Malware que desativa `iptables` em sistemas Linux como parte de sua rotina de instalação - [[s0263-typeframe|TYPEFRAME]] - Backdoor norte-coreano que modifica regras de firewall para comunicação C2 persistente - [[s0108-netsh|netsh]] - Ferramenta nativa do Windows mais frequentemente utilizada para execução desta técnica; presente em práticamente todas as campanhas documentadas --- *Fonte: [MITRE ATT&CK - T1562.004](https://attack.mitre.org/techniques/T1562/004)*