# AN0197 — Analytic 0197 ## Descrição Detecta gravações remotas ou snapshots montados de outros sistemas em um caminho central VMFS do ESXi ou armazenamento NFS usado para staging remoto de arquivos antes de exfiltração, padrão associado a ataques direcionados à infraestrutura de virtualização. A telemetria inclui logs do ESXi de operações de datastore registrando montagens NFS incomuns, acesso a VMFS por hosts não autorizados e criação de arquivos em caminhos de datastore fora dos ciclos normais de gerenciamento de VM. Essa analítica detecta a fase de staging pré-exfiltração em ataques a infraestrutura VMware, onde adversários consolidam dados de múltiplas VMs ou datastores em um único ponto antes de extraí-los, potencialmente exfiltrando imagens completas de disco virtual (VMDK) contendo dados sensíveis de múltiplos sistemas. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0197](https://attack.mitre.org/detectionstrategies/DET0071#AN0197)*