# AN0615 — Analytic 0615 ## Descrição Este analítico detecta tentativas de escape de ESXi monitorando anomalias nos logs do hipervisor, como operações inesperadas de VM, eventos de escalada de privilégios ou tentativas de carregar módulos de kernel maliciosos dentro do ambiente ESXi. A telemetria inclui logs de auditoria do ESXi (`/var/log/shell.log`, `/var/log/hostd.log`, `/var/log/auth.log`), alertas do vSphere para operações de kernel module e eventos de auditoria de segurança que detectam tentativas de contornar o VMX sandbox. Essa detecção é crítica pois escape de hipervisor ESXi (VM escape) representa um dos ataques mais severos possíveis em infraestrutura virtualizada, permitindo que um adversário comprometendo uma VM obtenha controle do hipervisor e, por consequência, de todas as outras VMs hospedadas no mesmo host físico. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN0615](https://attack.mitre.org/detectionstrategies/DET0219#AN0615)*