Отключение или модификация системного брандмауэра

Злоумышленники могут отключить или изменить локальные или сетевые брандмауэры, чтобы нарушить защитные механизмы и обеспечить дальнейшие действия. Как только злоумышленник соберет достаточные привилегии, он сможет вмешиваться в службы брандмауэра, политики или наборы правил, чтобы снять ограничения на входящий или исходящий трафик. Например, это может включать отключение профилей брандмауэра, изменение существующих правил для разрешения ранее заблокированных портов или протоколов, или добавление новых правил, которые создают скрытые пути связи (например, добавление нового правила брандмауэра для хорошо известного протокола (например, RDP) с использованием нетрадиционного и потенциально менее безопасного порта. Злоумышленники могут отключать или модифицировать брандмауэры, используя различные способы поведения, в зависимости от платформы. Например, в ESXi правила брандмауэра можно изменять непосредственно через esxcli (например, через esxcli network firewall set) или через пользовательский интерфейс vCenter.