# AN0572 — Analytic 0572 ## Descrição Este analítico monitora a execução de comandos de gerenciamento de hipervisor como `esxcli vm process list` ou `vim-cmd vmsvc/getallvms` que enumeram máquinas virtuais, alertando quando usuários inesperados emitem comandos de listagem de VMs fora dos fluxos administrativos normais. A telemetria utilizada inclui logs de shell do ESXi, registros de auditoria de comandos do hostd/vSphere e eventos de autenticação que identificam o usuário originador da sessão. Essa detecção é fundamental pois a enumeração de VMs em hipervisores é frequentemente o primeiro passo de ransomware direcionado a ambientes ESXi, como observado nos ataques do grupo UNC3944 e variantes do Royal Ransomware. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0572](https://attack.mitre.org/detectionstrategies/DET0199#AN0572)*