# AN0161 — Analytic 0161 ## Descrição Detecta processos ou scripts em ambientes ESXi que acessam serviços web comuns (ex.: GitHub, Pastebin, Google Docs) para recuperar conteúdo contendo indicadores ofuscados de um servidor C2 secundário — comportamento conhecido como "dead drop resolver". A telemetria relevante inclui logs de rede do hipervisor, registros de execução de processos via ESXi Shell e conexões de saída incomuns originadas de VMs ou processos do host. Essa técnica é crítica para detectar porque os adversários a utilizam para mascarar a infraestrutura real de C2 atrás de serviços legítimos e confiáveis, dificultando bloqueios baseados em reputação de domínio. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN0161](https://attack.mitre.org/detectionstrategies/DET0058#AN0161)*