T1562.004

غیرفعال یا تغییر فایروال سیستم

Disable or Modify System Firewall

توضیحات

مهاجمان فایروال سیستم را غیرفعال یا قوانین آن را تغییر می‌دهند تا ارتباطات مخرب را امکان‌پذیر کنند. با غیرفعال کردن فایروال، مهاجمان می‌توانند ترافیک C2 را بدون محدودیت برقرار کنند.

روش‌های شناسایی

نظارت بر وضعیت فایروال. شناسایی تغییرات قوانین فایروال. بررسی غیرفعال شدن فایروال. ارسال لاگ‌ها به SIEM.

روش‌های مقابله

نظارت بر وضعیت فایروال. محدود کردن دسترسی به تغییر فایروال. فعال‌سازی tamper protection. استفاده از Group Policy. پیاده‌سازی چندین لایه دفاعی.

تکنیک اصلی

T1562Impair Defenses

اختلال در دفاع

مهاجمان قابلیت‌های دفاعی را غیرفعال یا تضعیف می‌کنند تا از شناسایی جلوگیری کنند. این تکنیک شامل غیرفعال کردن آنتی‌ویروس، EDR، فایروال، logging و سایر ابزارهای امنیتی می‌شود. مهاجمان اغلب این کار را قبل از اجرای مرحله اصلی حمله انجام می‌دهند.

سایر زیرتکنیک‌ها (3)

T1562.001 · غیرفعال یا تغییر ابزارها T1562.002 · غیرفعال کردن Windows Event Logging T1562.008 · غیرفعال یا تغییر لاگ‌های ابری