# AN0403 — Analytic 0403 ## Descrição Detecta daemons ESXi (hostd, vpxa) utilizando inesperadamente rotinas de cifragem simétrica para conexões externas, identificando logs de tráfego de serviço com payloads encriptados inconsistentes com baselines de gerenciamento VMware. A telemetria necessária inclui logs do hostd/vpxa, análise de tráfego de rede na interface de gerenciamento e monitoramento de chamadas de biblioteca de criptografia por processos de serviço. Essa detecção é importante porque hypervisors ESXi são alvos de alto valor para grupos APT, e canais de comunicação encriptados não padronizados podem indicar um implante persistente no hipervisor. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1573-001-encrypted-channel-symmetric-cryptography|T1573.001 — Symmetric Cryptography]] - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0403](https://attack.mitre.org/detectionstrategies/DET0143#AN0403)*