# AN0116 — Analytic 0116 ## Descrição Detecta a remoção de implantes de persistência no ESXi, como entradas no rc.local ou injeções em crontab, via comandos CLI (rm, sed, crontab -r) e exclusão de scripts de inicialização ou gerenciamento. A telemetria inclui logs de shell do ESXi (/var/log/shell.log), syslog para rastrear comandos de exclusão de arquivo, e correlação temporal com sessões SSH suspeitas anteriores que instalaram os artefatos. Este analítico é importante para rastrear operações adversariais em infraestrutura ESXi comprometida, onde a remoção de implantes após impacto (como criptografia de VMs) é um comportamento observado em grupos de ransomware como Cl0p e RansomHub. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0116](https://attack.mitre.org/detectionstrategies/DET0040#AN0116)*