# AN0660 — Analytic 0660 ## Descrição Detecta alterações em `/etc/rc.local.d/local.sh` ou `rc.local` durante a execução de scripts pós-boot do ESXi com comandos anômalos ou adições suspeitas. A telemetria inclui logs do hostd e auditoria de integridade de arquivos no ESXi que monitoram modificações nos scripts de inicialização do hipervisor, especialmente durante janelas fora do horário de manutenção. Essa analítica é crítica pois a persistência em scripts de boot do ESXi é uma técnica avançada usada por grupos como UNC3886 para sobreviver a reinicializações do hipervisor e manter acesso a toda a infraestrutura virtualizada. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0660](https://attack.mitre.org/detectionstrategies/DET0237#AN0660)*