# AN0654 — Analytic 0654 ## Descrição Detecta modificações suspeitas de artefatos de arquivo — como logs e templates ISO — em datastores ESXi, seguidas de operações de beacon ou POST para IPs externos que potencialmente ocultam payloads em tráfego com aparência de arquivo. A telemetria inclui logs do hostd/vpxd e registros de auditoria do vSAN que capturam modificações de arquivo em datastores, correlacionadas com conexões de rede de saída incomuns. Essa analítica é importante pois ambientes ESXi são alvos de alto valor; adversários que obtêm acesso podem plantar payloads em datastores compartilhados para persistência ou exfiltração encoberta entre múltiplas VMs. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0654](https://attack.mitre.org/detectionstrategies/DET0235#AN0654)*