# AN0329 — Analytic 0329 ## Descrição Detecta exploração direcionada a ESXi/vCenter correlacionando tentativas de acesso a endpoints vulneráveis conhecidos (OpenSLP 427, CIM 5989, Hostd/Vpxa HTTPS 443, ESXi SOAP) com travamentos do vmkernel/hostd, reinicializações inesperadas de serviços ou novas conexões de saída do host ESXi para ativos internos. A telemetria utilizada inclui logs hostd/vpxa, alertas de vmkernel e registros de fluxo NSX. Essa analítica é crítica em ambientes de virtualização porque a exploração de ESXi possibilita impacto massivo — desde criptografia de VMs por ransomware até espionagem de ambientes de produção inteiros. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1210-exploitation-of-remote-services|T1210 — Exploitation of Remote Services]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0329](https://attack.mitre.org/detectionstrategies/DET0118#AN0329)*