# AN0168 — Analytic 0168 ## Descrição Detecta no ESXi o uso de interface de linha de comando ou vCLI acionando transferências remotas com wget ou curl e gravando arquivos em caminhos de datastores ou diretórios /tmp locais, indicando staging de ferramentas maliciosas no hipervisor. A telemetria inclui logs do ESXi Shell de comandos de transferência de arquivos, eventos de acesso a datastores VMFS e conexões de rede de saída a partir de processos do host que normalmente não realizam comúnicações externas. Essa analítica é de alta prioridade em ambientes de virtualização porque o comprometimento de um hipervisor ESXi permite impactar todas as VMs hospedadas simultaneamente, como demonstrado por ataques de ransomware direcionados a infraestrutura VMware. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0168](https://attack.mitre.org/detectionstrategies/DET0060#AN0168)*