# AN0098 — Analytic 0098 ## Descrição Detecta enumeração de processos em ambientes VMware ESXi usando os comandos esxcli system process list ou ps via shell ESXi ou sessões SSH não autorizadas. A telemetria inclui logs de autenticação do ESXi (/var/log/auth.log), syslog para comandos executados via shell, e registros de sessão SSH para identificar conexões de usuários com papéis anômalos. Este analítico é importante porque o acesso não autorizado ao shell ESXi é precursor de ataques de ransomware direcionados a infraestrutura de virtualização, como os realizados pelos grupos Conti e ALPHV que implantam encriptadores ESXi. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0098](https://attack.mitre.org/detectionstrategies/DET0034#AN0098)*