# FRAMESTING > Tipo: **malware** · S1120 · [MITRE ATT&CK](https://attack.mitre.org/software/S1120) ## Descrição [[s1120-framesting|FRAMESTING]] é uma web shell em Python utilizada durante a operação [[cutting-edge|Cutting Edge]] para ser incorporada em um pacote Python do Ivanti Connect Secure, permitindo a execução de comandos arbitrários em dispositivos comprometidos. O malware recebeu a classificação MITRE [[s1120|S1120]] e se distingue por modificar diretamente um pacote legítimo do sistema, técnica categorizada como [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]], garantindo persistência discreta no firmware do dispositivo. A web shell utiliza [[t1059-006-python|T1059.006 - Python]] para execução de comandos e implementa [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] para disfarçar o tráfego malicioso como comunicação legítima do Ivanti Secure Connect. As comúnicações com o operador são ofuscadas através de [[t1001-data-obfuscation|T1001 - Data Obfuscation]] e [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]], dificultando a detecção em fluxos de tráfego de rede por ferramentas de inspeção profunda de pacotes. O uso de [[t1505-003-web-shell|T1505.003 - Web Shell]] em dispositivos de borda como VPNs corporativas é particularmente perigoso por expor diretamente redes internas ao controle do atacante. **Plataformas:** Network Devices ## Técnicas Utilizadas - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1059-006-python|T1059.006 - Python]] - [[t1001-data-obfuscation|T1001 - Data Obfuscation]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] ## Detecção - **Integridade de pacotes Python (dispositivos Ivanti):** Monitorar alterações não autorizadas em pacotes Python instalados no Ivanti Connect Secure - comparar hashes de arquivos `.py` e `.pyc` contra baseline limpo; qualquer modificação em pacotes do sistema é indicador crítico de comprometimento - **Logs de acesso HTTP anômalos em dispositivos de borda:** Inspecionar logs do servidor web embutido do Ivanti buscando requisições POST para endpoints incomuns ou caminhos que não correspondem à estrutura esperada da aplicação; timestamps fora do horário comercial merecem aténção especial - **Telemetria de rede - tráfego C2 disfarçado:** Usar inspeção de conteúdo TLS/SSL para detectar padrões de [[t1071-001-web-protocols|T1071.001]] sobre HTTPS com payloads anômalos; soluções NDR (Network Detection & Response) devem ser configuradas para alertar em tráfego HTTP/S persistente de VPNs para IPs externos não catalogados - **Sigma:** `web_application_attack_webshell.yml` (SigmaHQ) - detecção de web shells baseada em padrões de execução de comandos via requisições HTTP; adaptar para endpoints específicos do Ivanti Connect Secure ## Relevância LATAM/Brasil O [[s1120-framesting|FRAMESTING]] integra o arsenal da operação [[cutting-edge|Cutting Edge]], que explorou vulnerabilidades críticas em VPNs Ivanti Connect Secure (como [[cve-2024-21887|CVE-2024-21887]] e [[cve-2023-46805|CVE-2023-46805]]) globalmente, afetando organizações nos setores [[government|governo]], [[technology|tecnologia]] e [[financial|financeiro]]. No contexto brasileiro e latino-americano, a adoção crescente de dispositivos Ivanti por grandes corporações e órgãos governamentais eleva o risco de exposição, especialmente considerando que a detecção de web shells em dispositivos de borda frequentemente ultrapassa a capacidade de resposta de equipes de SOC regionais. A técnica de comprometer binários legítimos do sistema torna a detecção particularmente desafiadora para organizações sem programas maduros de integridade de software. ## Referências - [MITRE ATT&CK - S1120](https://attack.mitre.org/software/S1120)