# AN0207 — Analytic 0207 ## Descrição Detecta execução no ESXi Shell de ferramentas ou scripts como `nc`, `socat` ou `perl` que retransmitem tráfego de rede para outros hosts internos, especialmente quando iniciados por usuários não autorizados ou VMs comprometidas que obtiveram acesso ao host hipervisor. A telemetria inclui logs do ESXi Shell registrando execuções dessas ferramentas de rede, análise de conexões de rede originadas de processos do host ESXi para destinos internos incomuns e correlação com eventos de autenticação no host para identificar sessões não autorizadas. Essa analítica tem alta prioridade porque o ESXi, sendo o hipervisor subjacente, representa um ponto de pivotamento privilegiado que permite acesso a múltiplas VMs e redes virtuais, sendo alvo de grupos APT e operadores de ransomware que buscam maximizar o impacto de um comprometimento de infraestrutura. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1090-proxy|T1090 — Proxy]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0207](https://attack.mitre.org/detectionstrategies/DET0075#AN0207)*