# AN0112 — Analytic 0112 ## Descrição Monitora registros esxcli e syslog para alterações de resolvedor DNS ou consultas repetidas para domínios externos incomuns por agentes de gerenciamento em ambientes ESXi. A telemetria inclui syslog do ESXi (/var/log/syslog.log), registros de comandos shell via SSH, e alertas de mudança de configuração de rede das VMs ou do host. Este analítico é relevante porque implantes ESXi como VirtualPita e VirtualPie (atribuídos a grupos de espionagem de nação-estado) utilizam resolução DNS customizada para manter comunicação C2 discreta dentro da infraestrutura de virtualização. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0112](https://attack.mitre.org/detectionstrategies/DET0039#AN0112)*