# AN1068 — Analytic 1068 ## Descrição Este analítico detecta payloads PowerCLI codificados ou em Base64 preparados via uploads para datastores ou acesso shell (ESXi Shell ou VIBs backdoored) em ambientes VMware ESXi. Utiliza telemetria de logs do ESXi Shell, eventos de autenticação e monitoramento de integridade de VIBs para identificar atividade de staging maliciosa. A detecção é crítica porque ataques de ransomware direcionados a ESXi (como Black Basta, ALPHV/BlackCat) frequentemente usam payloads codificados implantados via datastore para comprometer múltiplas VMs simultaneamente. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] --- *Fonte: [MITRE ATT&CK — AN1068](https://attack.mitre.org/detectionstrategies/DET0378#AN1068)*