# AN0952 — Analytic 0952 ## Descrição Detecta modificações não autorizadas em binários, módulos ou serviços do host ESXi. A telemetria inclui logs de integridade de arquivos do hypervisor, eventos de carregamento de módulos do kernel VMkernel e correlação entre arquivos adulterados com comportamento inesperado de serviços ou tentativas de carregamento de módulos maliciosos. Comprometimento de hosts ESXi tem impacto crítico pois afeta todas as VMs hospedadas, sendo um alvo prioritário para ransomware como o grupo Scattered Spider e operadores do ALPHV/BlackCat. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1554-compromise-client-software-binary|T1554 — Compromise Client Software Binary]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0952](https://attack.mitre.org/detectionstrategies/DET0336#AN0952)*