# AN1172 — Analytic 1172 ## Descrição Detecta movimentação de arquivos ou transferências TFTP/FTP de saída originadas do host ESXi via comandos shell ou scripts injetados, particularmente a partir de partições scratch ou `/tmp`. A telemetria inclui syslogs do ESXi, logs de shell e monitoramento de tráfego de rede no plano de gerenciamento para identificar transferências de arquivo iniciadas a partir de partições temporárias, que são indicadores fortes de comprometimento. Esse analítico é crítico porque hosts ESXi raramente deveriam iniciar transferências de arquivo externas, e qualquer atividade desse tipo pode indicar exfiltração de dados de VMs ou configurações sensíveis do ambiente de virtualização. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] --- *Fonte: [MITRE ATT&CK — AN1172](https://attack.mitre.org/detectionstrategies/DET0416#AN1172)*