# AN0837 — Analytic 0837 ## Descrição Esta analítica detecta uma cadeia comportamental de modificação de permissões em hypervisors ESXi: acesso SSH ao host ESXi, execução de chmod/chown em arquivos de datastores VMFS ou configuração do sistema, modificação de arquivos de configuração VM (.vmx) ou permissões de disco virtual, correlação com logs do serviço hostd, e eventos de alteração de permissões no vCenter se gerenciado centralmente. A telemetria utilizada inclui logs de shell do ESXi e eventos de auditoria do vCenter. Esta detecção é crítica em ambientes de virtualização corporativos, pois comprometer permissões em datastores ESXi pode dar acesso a todos os discos virtuais e dados sensíveis de múltiplas VMs ao mesmo tempo. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1485-data-destruction|T1485 — Data Destruction]] --- *Fonte: [MITRE ATT&CK — AN0837](https://attack.mitre.org/detectionstrategies/DET0299#AN0837)*