# AN0175 — Analytic 0175 ## Descrição Detecta execução de scripts ou interpretadores Python em hosts ESXi por meio de shells BusyBox embarcados, instalações aninhadas ou arquivos transferidos via SSH ou montagem de datastore, sinalizando comportamentos incomuns de scripting ou enumeração pós-comprometimento. A telemetria inclui logs do ESXi Shell de execuções do interpretador Python ou scripts .py a partir de caminhos de datastore ou /tmp, conexões de rede iniciadas por processos Python no host e comandos de enumeração de VMs ou configurações executados subsequentemente. Essa detecção é de alto valor porque o ESXi tem suporte limitado a agentes de segurança, tornando atividades de scripting adversarial no hipervisor especialmente difíceis de detectar sem monitoramento proativo dos logs nativos do host. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0175](https://attack.mitre.org/detectionstrategies/DET0063#AN0175)*