# AN0640 — Analytic 0640 ## Descrição Este analítico detecta chamadas de rede via CLI ou API do hipervisor ESXi para um host de staging externo, seguidas em curto intervalo por uma conexão para um segundo IP externo por um processo ou tarefa agendada spawned, indicando comprometimento de hipervisor com infraestrutura C2 multi-estágio. A telemetria inclui logs de conexões de rede do ESXi (`/var/log/hostd.log`), logs de shell do hipervisor registrando comandos de rede executados e monitoramento de tráfego de saída do host ESXi via firewall de rede com alertas de temporalidade para sequências de conexão suspeitas. Essa detecção é crítica pois um hipervisor ESXi comprometido com C2 multi-estágio representa um dos cenários de comprometimento mais severos possíveis, onde o adversário tem acesso persistente e difícil de remover a toda a infraestrutura virtualizada enquanto mantém comunicação C2 resiliente e compartimentada. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0640](https://attack.mitre.org/detectionstrategies/DET0228#AN0640)*