# AN0395 — Analytic 0395 ## Descrição Detecta remoção manual ou via script de logs, artefatos ou drops de malware via `rm` ou PowerCLI no shell ESXi, com foco em exclusões de `/tmp/`, `/var/core/` ou `/scratch`. A telemetria inclui logs de shell do ESXi, auditoria de acesso a arquivos via hostd e comparação de conteúdo de diretório com baselines esperados do sistema. Essa analítica é relevante para ambientes VMware porque grupos de ransomware e espionagem que comprometem ESXi consistentemente limpam seus rastros excluindo ferramentas e logs dos diretórios temporários após a fase de execução. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0395](https://attack.mitre.org/detectionstrategies/DET0140#AN0395)*