# AN0807 — Analytic 0807 ## Descrição Esta analítica detecta modificações diretas em entradas de crontab nos caminhos `/var/spool/cron/crontabs/root` ou `/etc/rc.local.d/local.sh` em hypervisors ESXi, seguidas da execução de scripts vinculados a movimentação lateral ou persistência de malware. A telemetria utilizada inclui logs de shell do ESXi e monitoramento de integridade de arquivos críticos do sistema. Esta detecção é especialmente importante em ambientes de virtualização, onde comprometer o hypervisor pode dar controle sobre todas as VMs hospedadas simultaneamente. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1053-003-cron|T1053.003 — Cron]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1611-escape-to-host|T1611 — Escape to Host]] --- *Fonte: [MITRE ATT&CK — AN0807](https://attack.mitre.org/detectionstrategies/DET0290#AN0807)*