# AN0912 — Analytic 0912 ## Descrição Este analytic detecta a execução direta de `/bin/vmx` ou a presença de arquivos `.vmx` não registrados no inventário do vCenter, correlacionando comandos anômalos no histórico de shell com edições em `rc.local.d/local.sh` para persistência. A telemetria inclui logs de shell do ESXi, eventos de criação de arquivo no datastore e logs de auditoria do vCenter que registram instâncias de VM não gerenciadas. Em ambientes ESXi, a execução de VMs não registradas permite que ransomware e APTs processem dados de máquinas virtuais fora da visibilidade do vCenter, facilitando criptografia e exfiltração sem acionar alertas de gerenciamento de infraestrutura. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564-006-run-virtual-instance|T1564.006 — Run Virtual Instance]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0912](https://attack.mitre.org/detectionstrategies/DET0321#AN0912)*