# AN1152 — Analytic 1152 ## Descrição Monitora logs de DNS e tráfego de rede no nível de VM para identificar domínios controlados por adversários ou comportamento seletivo de resposta, como requisições descartadas provenientes de scanners de segurança. A telemetria utilizada inclui syslogs do ESXi, logs de tráfego de VMs gerenciadas e dados de threat intel para correlacionar resoluções DNS anômalas com atividade de processo suspeita no plano de gerenciamento. Esse analítico é relevante porque hosts ESXi comprometidos podem servir como plataforma de C2 encoberta, comúnicando-se seletivamente para evadir ferramentas de segurança enquanto mantêm acesso persistente ao ambiente virtualizado. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1152](https://attack.mitre.org/detectionstrategies/DET0411#AN1152)*