# AN0898 — Analytic 0898 ## Descrição Este analytic detecta processos do host ESXi como `vmx` e `hostd` iniciando sessões HTTPS para repositórios de código externos, correlacionando leituras de datastore com tráfego web inconsistente com baselines administrativos. A telemetria inclui logs de shell do ESXi, logs de rede do NSX/vSphere e análise de fluxo com foco em conexões de saída de processos hipervizor para domínios de controle de versão. Em ambientes ESXi, a exfiltração via repositórios é particularmente perigosa pois pode extrair imagens de VMs e dados de configuração de infraestrutura crítica sem ativar alertas de DLP tradicionais. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1567-001-exfiltration-to-code-repository|T1567.001 — Exfiltration to Code Repository]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0898](https://attack.mitre.org/detectionstrategies/DET0318#AN0898)*