# Line Runner > Tipo: **malware** · S1188 · [MITRE ATT&CK](https://attack.mitre.org/software/S1188) ## Descrição [[s1188-line-runner|Line Runner]] é um backdoor persistente e web shell que permite a atores de ameaça carregar e executar scripts Lua arbitrários em dispositivos de rede Cisco Adaptive Security Appliance (ASA). Descoberto no contexto da campanha [[arcanedoor|ArcaneDoor]], o malware utiliza funcionalidades não documentadas de um componente legítimo do ASA para estabelecer persistência, sobrevivendo inclusive a reinicializações e atualizações de firmware do dispositivo. O Line Runner explora a capacidade de carregar arquivos ZIP contendo scripts Lua arbitrários no sistema de arquivos do appliance Cisco ASA, criando uma web shell acessível via HTTP que permanece funcional mesmo após patches aplicados pela Cisco. O malware é capaz de exfiltrar dados através do canal C2 usando [[t1071-001-web-protocols|Web Protocols]], comprimir arquivos antes do envio via [[t1027-015-compression|T1027.015]] e modificar configurações de energia para garantir disponibilidade persistente. Ataques envolvendo o Line Runner foram atribuídos pelo TALOS ao ator de espionagem estatal denominado UAT4356, com sobreposição de infraestrutura com o [[linerunner|actor]] associado à campanha ArcaneDoor de 2024. A campanha ArcaneDoor, na qual o Line Runner foi implantado, visou dispositivos de perímetro de rede em organizações governamentais e de infraestrutura crítica globalmente. O Line Runner opera em conjunto com o [[s1186-line-dancer|Line Dancer]], outro implant da campanha, onde Line Dancer atua na memória e Line Runner fornece persistência em disco através da web shell Lua. **Plataformas:** Network Devices ## Técnicas Utilizadas - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1653-power-settings|T1653 - Power Settings]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-011-lua|T1059.011 - Lua]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] ## Detecção - **[[ds-0015-application-log|Application Log Content]]** - Monitorar logs do Cisco ASA em busca de uploads de arquivos ZIP não autorizados e execução de scripts Lua incomuns via funcionalidades de gerenciamento do appliance. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Analisar tráfego HTTP de saída de dispositivos de rede em busca de padrões de comunicação C2 e exfiltração de dados fora dos padrões de gerenciamento legítimo. - **[[ds-0022-file|File Modification]]** - Detectar criação ou modificação de arquivos em partições persistentes de dispositivos Cisco ASA, especialmente arquivos ZIP e scripts Lua não previstos nas atualizações de firmware. ```sigma title: Cisco ASA Line Runner Web Shell Activity status: experimental logsource: category: webserver product: cisco-asa detection: selection: cs-uri-stem|contains: - '.lua' - '/+CSCUI+' condition: selection falsepositives: - Legitimaté Cisco management operations level: high tags: - attack.persistence - attack.t1505.003 - code/distill ``` ## Relevância LATAM/Brasil O Line Runner representa a nova geração de ameaças a dispositivos de borda de rede, com impacto potencial em organizações brasileiras e latino-americanas que utilizam Cisco ASA como firewall e VPN gateway. Organizações governamentais e de infraestrutura crítica na região que dependem de dispositivos Cisco ASA devem aplicar imediatamente as atualizações de firmware e revisar logs em busca de atividade anômala relacionada à campanha ArcaneDoor. ## Referências - [MITRE ATT&CK - S1188](https://attack.mitre.org/software/S1188) - [Cisco Talos - ArcaneDoor Campaign](https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/)