# AN0262 — Analytic 0262 ## Descrição Esta analítica detecta modificações em cron jobs do ESXi, scripts `local.sh` ou chamadas agendadas via API para persistir binários customizados ou scripts shell no hipervisor. A telemetria inclui logs de auditoria do ESXi (`/var/log/shell.log`), eventos de modificação de arquivos em `/etc/rc.local.d/` e alertas de integridade de configuração do vCenter. A detecção é crítica pois a persistência em hipervisores ESXi permite ao adversário sobreviver a reinicializações e manter acesso a todas as VMs hospedadas, técnica documentada em ataques de ransomware como BlackCat/ALPHV. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0262](https://attack.mitre.org/detectionstrategies/DET0094#AN0262)*