# AN0033 — Analytic 0033 ## Descrição Detecta tráfego anômalo originado de daemons de gerenciamento de host ESXi (como hostd ou vpxa) que embarcam payloads não padrão em protocolos de gerenciamento (ex: HTTPS) ou exibem comportamento de beaconing, indicando possível backdoor em infraestrutura de virtualização. A telemetria inclui logs de tráfego de rede do host ESXi, análise de pacotes em interfaces de gerenciamento (vmk0) e correlação entre comportamento de daemons e comúnicações de saída não usuais. Esse analítico é crítico para detectar malware específico para ESXi como o backdoor VIRTUALPITA/VIRTUALPIE (atribuído ao UNC3886) que compromete hypervisors para persistência de longo prazo. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0033](https://attack.mitre.org/detectionstrategies/DET0011#AN0033)*