# AN1023 — Analytic 1023 ## Descrição Este analítico detecta tráfego criptografado de saída iniciado a partir do shell do hipervisor ESXi ou via mecanismos de backdoor em VMs para relays em infraestrutura VPS, especialmente se atravéssando múltiplos nós antes de atingir o destino na internet, com capturas de pacotes ou logs de firewall mostrando caminhos de comunicação não-VM anômalos. A telemetria utilizada inclui logs do VMware ESXi (`/var/log/vmkernel.log`), análise de tráfego na VMkernel NIC e inspeção de pacotes via vSphere Distributed Switch para identificar fluxos de multi-hop não esperados pelo plano de gestão. Esta detecção é crítica para identificar comprometimento de hipervisor por APTs como APT40 e UNC3886, que foram documentados utilizando o ESXi como plataforma de proxy furtivo para comunicação C2 em ambientes corporativos altamente monitorados. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1023](https://attack.mitre.org/detectionstrategies/DET0359#AN1023)*