# AN1125 — Analytic 1125 ## Descrição Detecta tráfego DNS de saída incomum originado de hosts ESXi, frequentemente proveniente de shell scripts, daemons personalizados ou VIBs maliciosos que interagem com infraestrutura DNS externa fora do plano de gerenciamento. A telemetria baseia-se em logs de rede do ESXi, logs do VMkernel e registros de execução de processos para correlacionar atividade DNS anômala com componentes de software não autorizados. Esse comportamento é especialmente preocupante em ambientes de virtualização porque um ESXi comprometido pode expor toda a infraestrutura de VMs e seus dados de gerenciamento. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1125](https://attack.mitre.org/detectionstrategies/DET0400#AN1125)*