# AN0991 — Analytic 0991 ## Descrição Este analítico detecta VMs enviando tráfego de saída por serviços não padrão ou para destinos desconhecidos no ESXi, incluindo exfiltração por reverse shells tunelados via VMkernel ou payloads personalizados roteados via processos `hostd` ou `vpxa`. A telemetria utilizada inclui logs do VMware ESXi (`/var/log/hostd.log`, `/var/log/vmkernel.log`), monitoramento de tráfego de saída por VMkernelinterface e captura de pacotes na camada vSwitch para identificar fluxos anômalos. A detecção é relevante para ambientes VMware críticos, pois atacantes que comprometem o hipervisor ESXi — como grupos APT ligados a espionagem — frequentemente exfiltram dados de VMs usando o plano de gestão como canal de comunicação furtivo. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0991](https://attack.mitre.org/detectionstrategies/DET0348#AN0991)*