# AN0636 — Analytic 0636 ## Descrição Este analítico detecta serviços de VM ou daemons de gerenciamento do ESXi se comúnicando em portas não definidas pelos padrões VMware, como processos `vpxa` ou `hostd` iniciando tráfego em portas de alto número ou inesperadas que não fazem parte do perfil de comunicação normal do hipervisor. A telemetria inclui logs de rede do ESXi (`/var/log/hostd.log`), monitoramento de sockets de rede no hipervisor via `esxcli network connection list` e alertas de firewall do vSphere para tráfego em portas não autorizadas originado de processos de gerenciamento. Essa detecção é crítica em ambientes ESXi pois serviços de hipervisor como vpxa e hostd têm perfis de comunicação extremamente determinísticos, tornando qualquer desvio de porta ou destino um forte indicador de comprometimento ou backdoor instalado no hipervisor. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] --- *Fonte: [MITRE ATT&CK — AN0636](https://attack.mitre.org/detectionstrategies/DET0227#AN0636)*