# AN0078 — Analytic 0078 ## Descrição Detecta comunicação HTTP ou HTTPS iniciada por scripts shell ou daemons de gerenciamento no ESXi, especialmente quando atingem IPs públicos nas portas 80/443 usando curl ou wget embarcados, indicando possível comunicação de C2 ou exfiltração a partir de infraestrutura de hypervisor comprometida. A telemetria inclui logs de tráfego de rede do host ESXi, monitoramento de processos iniciadores de conexões de saída e análise de logs do hostd/vpxa para invocações de curl/wget não padrão. Esse analítico é crítico pois commúnication C2 a partir de hipervisores ESXi comprometidos (como no caso do backdoor VIRTUALPITA) é extremamente difícil de detectar sem monitoramento dedicado da interface de gerenciamento. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0078](https://attack.mitre.org/detectionstrategies/DET0027#AN0078)*