# AN0925 — Analytic 0925 ## Descrição Este analytic detecta o shell ESXi ou ferramentas de guest VM iniciando conexões externas via encaminhamento de tráfego scriptado para proxies baseados na Internet, identificado por picos de conexão de saída do hypervisor ou VMs guest para nós proxy remotos nos logs de firewall ou de auditoria shell. A telemetria inclui logs de shell do ESXi, logs de firewall de rede do NSX/vSphere e análise de fluxo de rede (Zeek/NetFlow). Em ambientes ESXi, tráfego de proxy do hypervisor é altamente anômalo e frequentemente indica comprometimento de nível de infraestrutura, onde adversários estabelecem canais de C2 resilientes que persistem independentemente do estado das VMs guest. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1090-003-multi-hop-proxy|T1090.003 — Multi-hop Proxy]] - [[t1071-001-web-protocols|T1071.001 — Web Protocols]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0925](https://attack.mitre.org/detectionstrategies/DET0325#AN0925)*