# AN0232 — Analytic 0232 ## Descrição Detecta modificação do banner de login do host ESXi ou arquivo MOTD (`/etc/motd`) pelo adversário, sejá via SSH ou acesso à consola do host, podendo envolver sobregravação de arquivo de configuração ou chamadas de API de clientes vSphere comprometidos. A telemetria inclui logs do ESXi Shell de comandos de escrita em `/etc/motd` ou caminhos de configuração relacionados, eventos de autenticação SSH correlacionando sessões com modificações de arquivo e chamadas de API vSphere de modificação de configuração de host de fontes incomuns. Essa analítica é um indicador de comprometimento confirmado do hipervisor ESXi, frequentemente observado em incidentes de ransomware direcionados a VMware onde atacantes modificam o MOTD para exibir notas de resgate após criptografar as VMs hospedadas, representando a fase final de um ataque de alto impacto. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0232](https://attack.mitre.org/detectionstrategies/DET0082#AN0232)*