# AN0573 — Analytic 0573 ## Descrição Este analítico detecta tentativas de enumerar máquinas virtuais via ferramentas de hipervisor como `virsh`, `VBoxManage` ou `qemu-img` em Linux, correlacionando invocações suspeitas de comandos com a linhagem de processos pais e usuários inesperados. A telemetria inclui logs de auditoria do Linux (`auditd`), monitoramento de execução de processos via Sysmon para Linux e registros de sessão que identificam o contexto do usuário que executa os comandos. Essa detecção é importante pois servidores Linux de virtualização são alvos prioritários de ransomware moderno, e a enumeração de VMs precede tipicamente ataques de criptografia em massa de datastores. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0573](https://attack.mitre.org/detectionstrategies/DET0199#AN0573)*