# AN0439 — Analytic 0439 ## Descrição Detecta serviços ou daemons de gerenciamento VMware gerando requisições HTTP POST para endpoints de webhook, encadeadas com acesso incomum a datastores ou logs, caracterizando exfiltração de logs de VM ou imagens de disco via URLs de webhook. A telemetria necessária inclui logs do hostd/vpxa do ESXi, monitoramento de tráfego de rede na interface de gerenciamento e correlação de acesso a datastores com conexões de saída para domínios externos de serviços de webhook. Essa detecção é relevante em ambientes de virtualização empresarial onde adversários comprometem o hipervisor e utilizam a conectividade de rede do ESXi para exfiltrar dados críticos de VMs para serviços de terceiros confiáveis. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0439](https://attack.mitre.org/detectionstrategies/DET0153#AN0439)*