# AN0348 — Analytic 0348 ## Descrição Detecta uso do shell ESXi (BusyBox) ou utilitários VMware (openssl, python quando presente) para codificar em Base64 ou hex dados de datastores ou arquivos de configuração, seguido de egresso anormal do host — identificado via logs NSX/flow — com assimetria de bytes ou HTTP POST para endpoints não relacionados à gestão. A telemetria inclui logs de shell do ESXi, registros de fluxo de rede NSX e auditoria do hostd. Essa analítica é crítica porque a exfiltração de configurações e dados de VMs a partir de ESXi é uma etapa frequente em campanhas de espionagem que visam infraestrutura de virtualização corporativa. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0348](https://attack.mitre.org/detectionstrategies/DET0124#AN0348)*