s1115-wirefire - RunkIntel

# WIREFIRE > Tipo: **malware** · S1115 · [MITRE ATT&CK](https://attack.mitre.org/software/S1115) ## Descrição [[s1115-wirefire|WIREFIRE]] (também conhecido como GIFTEDVISITOR) é um web shell escrito em Python que existe como lógica trojanizada no componente `visits.py` dos appliances Ivanti Connect Secure VPN. O malware foi utilizado durante a operação Cutting Edge - campanha de exploração de zero-days em dispositivos Ivanti em 2024 - para download de arquivos e execução de comandos arbitrários nos appliances comprometidos. A técnica de implantação do WIREFIRE é sofisticada: em vez de instalar um arquivo web shell separado, o malware modifica um componente legítimo e funcional do software Ivanti (visits.py), adicionando lógica backdoor ao código Python existente. Esta abordagem de compromisso de binário host torna a detecção mais difícil, pois o arquivo modificado ainda executa suas funções legítimas normalmente, enquanto também responde a requisições maliciosas com autenticação criptografada. O WIREFIRE opera em conjunto com o [[s1116-warpwire|WARPWIRE]] na mesma campanha de exploração de Ivanti, formando uma cadeia de comprometimento onde o WIREFIRE fornece persistência e capacidade de execução de comandos enquanto o WARPWIRE captura credenciais de autenticação. Esta combinação dá ao atacante tanto acesso persistente ao appliance quanto credenciais válidas para acessar as redes protegidas pela VPN comprometida. **Plataformas:** Network Devices ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] ## Detecção A detecção do WIREFIRE requer monitoramento de integridade de arquivos Python do Ivanti Connect Secure, especialmente o arquivo visits.py, comparando hashes contra versões conhecidas e íntegras. Análise de logs de acesso do appliance para requisições incomuns ao endpoint visits.py com parâmetros codificados ou criptografados é um indicador relevante. A Ivanti públicou verificações de integridade e IoCs específicos após a descoberta da campanha Cutting Edge. ## Relevância LATAM/Brasil Organizações brasileiras que utilizam Ivanti Connect Secure para acesso remoto VPN foram potencialmente expostas à campanha Cutting Edge em 2024. O WIREFIRE, ao modificar um componente legítimo do appliance, pode ter permanecido ativo mesmo após atualizações de patch, exigindo verificação proativa de integridade além da simples aplicação de patches. Organizações brasileiras com dispositivos Ivanti devem realizar análise forense retroativa dos logs do período vulnerável e verificar a integridade atual do appliance. ## Referências - [MITRE ATT&CK - S1115](https://attack.mitre.org/software/S1115)