# AN0314 — Analytic 0314 ## Descrição Esta analítica detecta modificações nos scripts `rc.local.d` ou `rc` do ESXi utilizados para executar código na inicialização do hipervisor. A telemetria inclui logs do shell do ESXi (`/var/log/shell.log`), alertas de monitoramento de integridade de arquivo para `/etc/rc.local.d/` e eventos de autenticação que precedem modificações de script de boot. A detecção é fundamental pois a modificação de scripts de inicialização do ESXi garante ao adversário persistência através de reinicializações, técnica documentada em malwares como VIPERSLIDE e implantes ESXi usados por grupos APT para espionagem em infraestrutura virtualizada. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1037-004-rc-scripts|T1037.004 — RC Scripts]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0314](https://attack.mitre.org/detectionstrategies/DET0112#AN0314)*