# AN0524 — Analytic 0524 ## Descrição Este analítico rastreia uso suspeito de comandos do shell ESXi ou PowerCLI para deletar logs, rotacionar arquivos de sistema ou adulterar o histórico de hostd/vpxa. A telemetria inclui logs do ESXi Shell (shell.log), logs de auditoria do vCenter, eventos de acesso SSH ao host ESXi e monitoramento de alterações em `/var/log/vmkernel.log`, `/var/log/hostd.log` e arquivos de histórico de shell. Em ataques a ambientes VMware, a remoção de logs do ESXi é frequentemente realizada para esconder operações de implante de backdoor em hipervisores ou destruição de VMs. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0524](https://attack.mitre.org/detectionstrategies/DET0184#AN0524)*