t1562-007-disable-or-modify-cloud-firewall

# T1562.007 - Disable or Modify Cloud Firewall ## Técnica Pai [[t1562-impair-defenses|T1562 - Impair Defenses]] ## Descrição Adversários podem desabilitar ou modificar um firewall dentro de um ambiente de nuvem para contornar controles que limitam o acesso a recursos cloud. Firewalls de nuvem são distintos dos firewalls de sistema descritos em [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] e operam na camada de rede virtual gerenciada pelo provedor de nuvem. Ambientes cloud como AWS, Azure e GCP utilizam grupos de segurança (*security groups*), *network access control lists* (NACLs) e regras de firewall que permitem tráfego de rede somente a partir de endereços IP confiáveis, em portas e protocolos esperados. Um adversário com permissões adequadas pode introduzir novas regras de firewall ou políticas para permitir acesso ao ambiente cloud da vítima e, eventualmente, realizar movimentação lateral do plano de controle para o plano de dados. Exemplos comuns incluem a criação de regras de ingresso que permitem qualquer conectividade TCP/IP a instâncias hospedadas na nuvem, a remoção de restrições de rede para suportar tráfego malicioso (como mineração de criptomoedas - [[t1496-resource-hijacking|T1496 - Resource Hijacking]]), e a abertura de portas para facilitar [[t1110-brute-force|ataques de força bruta]] ou [[t1499-endpoint-denial-of-service|negação de serviço]]. A modificação ou desabilitação do firewall cloud pode viabilizar comúnicações de [[t1071-application-layer-protocol|comando e controle]], [[t1021-remote-services|movimentação lateral]] e [[t1537-transfer-data-to-cloud-account|exfiltração de dados]] que de outra forma seriam bloqueadas pelos controles padrão. > **Plataformas afetadas:** IaaS (AWS, Azure, GCP, Oracle Cloud, Alibaba Cloud) ## Como Funciona O ataque se divide em duas fases principais: obtenção de permissões suficientes e manipulação das regras de firewall. **1. Obtenção de acesso privilegiado** O adversário precisa de credenciais ou tokens com permissões de gerenciamento de rede. Isso pode ser obtido via [[t1078-valid-accounts|contas válidas comprometidas]], [[t1550-001-application-access-token|tokens de acesso de aplicação roubados]], escalada de privilégios dentro do ambiente cloud, ou exploração de configurações excessivamente permissivas de IAM (*Identity and Access Management*). **2. Manipulação do firewall cloud** Com as permissões necessárias, o adversário pode: - **Criar novas regras de ingresso** - adicionar regras que permitem acesso de qualquer origem (`0.0.0.0/0`) a portas específicas (22/SSH, 3389/RDP, 443/HTTPS) - **Modificar grupos de segurança existentes** - alterar regras que restringem o tráfego para ampliar o escopo de IPs ou portas permitidas - **Desabilitar ACLs de rede** - remover listas de controle que bloqueiam tráfego em nível de sub-rede - **Criar novos grupos de segurança permissivos** - associá-los a instâncias existentes substituindo os restritivos - **Remover regras de egresso** - permitir que instâncias comprometidas se comuniquem livremente com infraestrutura C2 externa **Ferramentas utilizadas:** - `Pacu` - framework de exploração AWS que inclui módulos específicos para enumeração e modificação de grupos de segurança - AWS CLI, Azure CLI, `gcloud` - utilizadas diretamente quando o adversário possui credenciais - Scripts Python com SDKs `boto3` (AWS), `azure-sdk`, `google-cloud` para automação em escala ## Attack Flow ```mermaid graph TB A[Acesso Inicial Credenciais Cloud Comprometidas] --> B[Reconhecimento Enumerar Security Groups e Regras] B --> C[Escalada de Privilégios Permissões de Gerenciamento de Rede] C --> D{Ação sobre Firewall} D --> E[Criar Nova Regra Ingresso irrestrito 0.0.0.0/0] D --> F[Modificar Regra Existente Ampliar IPs ou portas permitidas] D --> G[Desabilitar ACL de Rede Remover restrições de sub-rede] E --> H[Objetivo Viabilizado] F --> H G --> H H --> I[C2 via porta aberta] H --> J[Movimentação Lateral Acesso a instâncias internas] H --> K[Exfiltração de Dados Sem bloqueio de egresso] H --> L[Cryptomining Resource Hijacking T1496] ``` ## Exemplos de Uso **AWS - Criação de regra de ingresso irrestrita via CLI** Um adversário com permissão `ec2:AuthorizeSecurityGroupIngress` pode criar uma regra que abre todas as portas de qualquer origem em um grupo de segurança existente, expondo instâncias EC2 ao acesso externo sem autenticação adicional. **Azure - Modificação de Network Security Group** Com permissão `Microsoft.Network/networkSecurityGroups/write`, o adversário pode adicionar uma regra de alta prioridade ao NSG associado a uma VM, permitindo acesso RDP (porta 3389) de qualquer IP. Isso é frequentemente usado após comprometimento de credenciais de um operador de nuvem. **GCP - Alteração de regras de firewall VPC** No Google Cloud, um adversário com papel `compute.securityAdmin` pode criar ou modificar regras de firewall na VPC que permitem todo o tráfego de entrada. Campanhas de cryptomining como as associadas ao grupo **TeamTNT** exploram configurações permissivas de IAM para executar exatamente essa técnica em escala. **Pacu (AWS Exploitation Framework)** O framework Pacu inclui o módulo `ec2__backdoor_ec2_sec_groups` que automatiza a criação de backdoors em grupos de segurança AWS, identificando instâncias acessíveis e modificando suas regras para permitir acesso irrestrito pelo IP do atacante. **Cenário LATAM - Comprometimento de ambiente cloud de fintech** Em 2024, campanhas direcionadas a fintechs brasileiras explorou credenciais AWS obtidas via repositórios GitHub públicos para modificar security groups e expor bancos de dados RDS (PostgreSQL, porta 5432) à internet, viabilizando exfiltração de dados de clientes. ## Detecção A detecção eficaz requer monitoramento de logs de auditoria da nuvem (CloudTrail no AWS, Activity Log no Azure, Cloud Audit Logs no GCP) com alertas para modificações em regras de firewall - especialmente aquelas que criam acessos irrestritos. **Sinais de alerta chave:** - Criação de regras com origem `0.0.0.0/0` ou `::/0` (IPv6) - Modificações em security groups fora de jánelas de mudança aprovadas - Regras que abrem portas de administração (22, 3389, 5432, 3306, 6379) para qualquer origem - Chamadas de API de modificação de firewall originadas de IPs não reconhecidos ou regiões incomuns - Múltiplas modificações de security groups em curto intervalo de tempo (comportamento de varredura/automação) ```yaml title: AWS Security Group Ingress Rule Allows Unrestricted Access status: experimental logsource: product: aws service: cloudtrail detection: selection: eventSource: ec2.amazonaws.com eventName: - AuthorizeSecurityGroupIngress - AuthorizeSecurityGroupEgress condition_unrestricted: requestParameters.ipPermissions.items.ipRanges.items.cidrIp: - "0.0.0.0/0" - "::/0" condition: selection and condition_unrestricted falsepositives: - Administradores de nuvem realizando manutenção planejada - Automações de CI/CD com escopo de permissões excessivo level: high tags: - attack.defense_evasion - attack.t1562.007 ``` **Outras fontes de dados relevantes:** - AWS CloudTrail: eventos `AuthorizeSecurityGroupIngress`, `CreateSecurityGroup`, `ModifyNetworkInterfaceAttribute` - Azure Monitor: operações `Microsoft.Network/networkSecurityGroups/write` - GCP Cloud Audit Logs: `compute.firewalls.insert`, `compute.firewalls.patch` - Integração com SIEM para correlação de modificações com acessos subsequentes incomuns ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1047-audit\|M1047]] | Audit | Auditar regularmente regras de firewall cloud, security groups e NACLs. Remover regras permissivas desnecessárias e documentar toda regra com justificativa de negócio. Usar ferramentas como AWS Config, Azure Policy ou GCP Security Command Center para detecção contínua de desvios. | | [[m1018-user-account-management\|M1018]] | User Account Management | Aplicar princípio do menor privilégio para permissões de IAM cloud. Restringir quem pode modificar security groups, firewalls e NACLs. Utilizar SCPs (Service Control Policies) no AWS Organizations para bloquear ações de rede em contas de produção. Revisar e revogar permissões excessivas periodicamente. | **Controles adicionais recomendados:** - Habilitar AWS Config Rule `vpc-sg-open-only-to-authorized-ports` para detecção automática de regras permissivas - Implementar alertas no AWS GuardDuty para `UnauthorizedAccess:EC2/MetadataDNSRebind` e mudanças de security groups - Usar políticas IAM com condições de MFA obrigatório para ações de modificação de rede - Implementar *break-glass procedures* para acesso administrativo a configurações de rede ## Contexto Brasil/LATAM A técnica T1562.007 é particularmente relevante para o cenário brasileiro e latino-americano, onde a adoção acelerada de nuvem pública muitas vezes supera a maturidade dos times de segurança em cloud. **Fatores de risco regionais:** - **Credenciais expostas em repositórios públicos:** O Brasil figura consistentemente entre os países com maior número de credenciais AWS e GCP expostas em repositórios GitHub públicos, frequentemente por desenvolvedores que fazem commit de arquivos `.env` ou `credentials` por engano. - **Campanhas de cryptomining direcionadas à LATAM:** Grupos como TeamTNT e Kinsing têm histórico de comprometer ambientes cloud com configurações de IAM permissivas na América Latina para mineração de criptomoedas, utilizando exatamente a abertura de security groups como vetor. - **Fintechs e bancos digitais como alvo:** O crescente ecossistema de fintechs brasileiro (Nubank, Mercado Pago, PicPay e similares) opera predominantemente em nuvem. Campanhas direcionadas a esse setor buscam modificar firewalls para acessar bancos de dados de clientes e sistemas de pagamento. - **Conformidade LGPD:** A modificação de firewalls cloud que resulte em exposição de dados pessoais pode configurar incidente de segurança sujeito às obrigações de notificação da [[lgpd|Lei Geral de Proteção de Dados]] (LGPD) à ANPD em até 2 dias úteis. - **Regulação BACEN para instituições financeiras:** O [[2018]] exige que instituições financeiras mantenham controles de segurança em ambientes cloud, incluindo monitoramento de acesso e modificações de configuração de rede. **Recomendações específicas para o contexto brasileiro:** - Implementar varreduras periódicas com ferramentas como ScoutSuite ou Prowler em ambientes AWS/Azure/GCP - Integrar alertas de modificação de firewall com SOC local para resposta em horário brasileiro - Treinar equipes de DevOps em práticas seguras de IaC (Terraform, CloudFormation) para evitar provisionamento de security groups permissivos ## Referências - [[s1091-pacu|Pacu]] - Framework de exploração AWS com módulo de backdoor em security groups - [[t1562-impair-defenses|T1562 - Impair Defenses]] - Técnica pai - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - Variante para sistemas locais - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - Objetivo frequente após abertura de firewall - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Vetor de acesso inicial comum - [[t1537-transfer-data-to-cloud-account|T1537 - Transfer Data to Cloud Account]] - Exfiltração viabilizada pela técnica - [[m1047-audit|M1047 - Audit]] - Mitigação principal - [[m1018-user-account-management|M1018 - User Account Management]] - Controle de acesso IAM *Fonte: MITRE ATT&CK - T1562.007*