# AN0930 — Analytic 0930 ## Descrição Este analytic detecta scripts ou processos do shell ESXi que produzem tokens longos de alta entropia com alfabetos não padrão nos logs `shell.log`/`hostd`, seguidos de fluxos de saída NSX/Zeek com razões assimétricas ou incompatibilidades de protocolo para endpoints não gerenciados. A telemetria inclui logs de shell do ESXi, análise de fluxo de rede NSX e capturas Zeek para correlacionar atividade de processo anômala com padrões de comunicação de rede. Em ambientes ESXi, comunicação C2 codificada customizada é uma assinatura de implants sofisticados de ransomware e APT que visam infraestrutura de virtualização, tendo sido observada em ataques contra ambientes VMware em setores financeiro e de saúde. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0930](https://attack.mitre.org/detectionstrategies/DET0326#AN0930)*