# AN0224 — Analytic 0224 ## Descrição Detecta exploração do OpenSLP exposto no ESXi ou endpoints públicos do vCenter, com cadeia: padrão de requisição inbound ao serviço de gerenciamento, erro/crash/reinicialização do hostd/vpxd, comportamento inesperado de processo ou acesso a datastore, seguido de callback de saída. A telemetria inclui logs do ESXi hostd e vpxd registrando erros e reinicializações anômalas, processos inesperados no host ESXi via análise de shells e conexões de saída de processos de gerenciamento para endereços externos. Essa analítica é de alta prioridade porque vulnerabilidades como CVE-2021-21985 e CVE-2021-22005 no VMware vCenter demonstraram que a exploração de endpoints de gerenciamento ESXi/vCenter pode comprometer toda a infraestrutura de virtualização de uma organização, sendo alvos prioritários de grupos de ransomware como Black Basta, ALPHV e grupos APT patrocinados por estados. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0224](https://attack.mitre.org/detectionstrategies/DET0080#AN0224)*