# AN0790 — Analytic 0790 ## Descrição Esta analítica detecta serviços ESXi (vmx, hostd) gerando requisições HTTPS POST de saída para sites de armazenamento de texto, com o defensor identificando leituras anômalas de datastore ou log encadeadas com tráfego para destinos similares ao Pastebin. A telemetria inclui syslogs do ESXi para tráfego de rede de saída, logs do hostd para acesso a datastores e análise de VPC Flow Logs para conexões HTTPS a domínios de paste suspeitos. A detecção é crítica em ambientes VMware porque um implante no ESXi com acesso aos datastores pode exfiltrar imagens de VM inteiras ou dados sensíveis de configuração usando serviços de paste como canal de exfiltração furtivo. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0790](https://attack.mitre.org/detectionstrategies/DET0284#AN0790)*