# AN0987 — Analytic 0987 ## Descrição Este analítico detecta a instalação de VIBs (vSphere Installation Bundles), scripts ou binários maliciosos em diretórios do ESXi como `/bin` ou `/etc/vmware` com nomes que imitam componentes padrão do hipervisor, além de monitorar a criação não autorizada de serviços. A telemetria utilizada inclui logs do VMware vSphere (`/var/log/vmware/`), eventos de instalação de VIB e alertas do vSphere Lifecycle Manager para VIBs não assinados ou com nível de aceitação abaixo do padrão. Esta detecção é especialmente relevante após o surgimento de ransomware específico para ESXi como ESXiArgs e BlackBasta, que frequentemente implantam binários mascarados no hipervisor para persistência e execução de payloads de criptografia de VMs. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0987](https://attack.mitre.org/detectionstrategies/DET0347#AN0987)*