# AN0426 — Analytic 0426 ## Descrição Detecta scripts baseados em shell que acessam arquivos de configuração ou snapshots do ESXi e os transmitem via protocolos não encriptados como FTP ou HTTP para IPs fora da rede de gerenciamento. A telemetria necessária inclui logs do shell ESXi, monitoramento de tráfego de rede na interface de gerenciamento e auditoria de acesso a arquivos de configuração como `/etc/vmware/config` e diretórios de datastore. Essa detecção é relevante porque adversários que comprometem hipervisors ESXi frequentemente buscam exfiltrar configurações de VM e snapshots que podem conter dados sensíveis ou chaves de criptografia. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1048-003-exfiltration-over-alternative-protocol-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 — Exfiltration Over Unencrypted Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0426](https://attack.mitre.org/detectionstrategies/DET0149#AN0426)*