# AN0305 — Analytic 0305 ## Descrição Esta analítica detecta daemons do ESXi (como `hostd`, `vpxa`) sendo encapsulados ou personificados para enviar grandes volumes de tráfego de saída usando codificação gzip/Base64 via SSH ou HTTP, seguindo logins suspeitos ou acesso shell. A telemetria inclui logs do ESXi (`/var/log/hostd.log`, `/var/log/shell.log`), análise de tráfego de rede para transferências de dados incomumente grandes de processos ESXi e alertas de SIEM para padrões de exfiltração. A detecção é relevante pois a exfiltração mascarada em tráfego de gerenciamento legítimo do ESXi é técnica usada por grupos que comprometeram infraestrutura de virtualização, como documentado em ataques a provedores de nuvem. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0305](https://attack.mitre.org/detectionstrategies/DET0108#AN0305)*