# AN1018 — Analytic 1018 ## Descrição Este analítico detecta a execução de `ping`, `vmkping` ou `curl` a partir do shell ESXi ou através de jobs/scripts de automação para verificar egresso de internet, especialmente quando iniciados por processos não esperados ou fora da janela de manutenção programada. A telemetria utilizada inclui logs do shell ESXi (`/var/log/shell.log`), logs de jobs do vCenter e monitoramento de conexões de rede via VMkernel para tráfego ICMP ou HTTP/S externo originado do próprio hipervisor. A detecção é importante porque comandos de verificação de conectividade no hipervisor ESXi são raros e podem indicar comprometimento do plano de gestão — frequentemente o primeiro sinal de presença de ransomware ESXi ou implantes de espionagem em infraestrutura VMware crítica. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1018](https://attack.mitre.org/detectionstrategies/DET0357#AN1018)*