# AN0359 — Analytic 0359 ## Descrição Detecta adversários que colocam scripts ou binários com nomes enganosos em `/etc/rc.local.d` ou `/var/spool/cron` no ESXi, ou que registram serviços com nomes de aparência legítima não presentes na build padrão do ESXi. A telemetria inclui monitoramento de integridade de arquivos nos diretórios de inicialização do ESXi, comparação de serviços registrados com baseline esperado e análise de logs do hostd. Essa analítica é crítica porque o ESXi tem um conjunto de serviços e scripts de inicialização bem definido e qualquer adição não documentada deve ser tratada como indicador de comprometimento de alto impacto. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0359](https://attack.mitre.org/detectionstrategies/DET0127#AN0359)*