# UPSTYLE > Tipo: **malware** · S1164 · [MITRE ATT&CK](https://attack.mitre.org/software/S1164) ## Descrição [[s1164-upstyle|UPSTYLE]] é um backdoor baseado em Python associado à exploração ativa de firewalls Palo Alto Networks via [[cve-2024-3400|CVE-2024-3400]] no início de 2024. O malware foi observado exclusivamente em relação a essa atividade de exploração zero-day, que envolveu comprometimento de dispositivos PAN-OS pelo ator de ameaça UTA0218, rastreado como um grupo de espionagem de estado-nação altamente capacitado. Técnicamente, o UPSTYLE opera modificando um arquivo Python legítimo do PAN-OS para adicionar funcionalidade de backdoor, utilizando mecanismo de event-triggered execution para executar comandos recebidos via tráfego de rede. O malware emprega técnicas avançadas de evasão, incluindo mascaramento de arquivos, timestomping, deleção de logs e adição de dados de lixo nas comúnicações para dificultar a análise forense. A comunicação é unidirecional, com o backdoor extraindo comandos de pacotes de tráfego de rede legítimo. O uso do CVE-2024-3400 - uma vulnerabilidade crítica de injeção de comandos no GlobalProtect do PAN-OS - demonstra a capacidade do ator responsável de descobrir e explorar vulnerabilidades zero-day em appliances de segurança de rede, uma categoria de alvo cada vez mais visada por grupos APT por sua posição privilegiada na borda da rede. **Plataformas:** Network Devices, Linux ## Técnicas Utilizadas - [[t1070-002-clear-linux-or-mac-system-logs|T1070.002 - Clear Linux or Mac System Logs]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1001-001-junk-data|T1001.001 - Junk Data]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1102-003-one-way-communication|T1102.003 - One-Way Commúnication]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] - [[t1059-006-python|T1059.006 - Python]] - [[t1665-hide-infrastructure|T1665 - Hide Infrastructure]] ## Detecção A detecção do UPSTYLE requer monitoramento de integridade de arquivos nos sistemas PAN-OS, especialmente modificações em arquivos Python do sistema. Verificar a integridade dos binários e scripts do appliance contra hashes conhecidos, monitorar execuções de Python incomuns em dispositivos de rede e analisar logs de acesso ao GlobalProtect em busca de padrões de exploração do CVE-2024-3400 são abordagens prioritárias. A Palo Alto Networks disponibilizou indicadores de comprometimento específicos para este backdoor. ## Relevância LATAM/Brasil Firewalls Palo Alto Networks são amplamente utilizados em organizações brasileiras nos setores financeiro, governamental e de telecomúnicações. A exploração do CVE-2024-3400 para implantação do UPSTYLE representa uma ameaça direta a essas organizações, especialmente dado o uso por um ator de espionagem de estado-nação com capacidade de zero-day. Organizações brasileiras que utilizam PAN-OS devem verificar se aplicaram o patch disponibilizado e realizar análise forense retroativa para identificar possíveis comprometimentos. ## Referências - [MITRE ATT&CK - S1164](https://attack.mitre.org/software/S1164)