# AN1181 — Analytic 1181 ## Descrição Utiliza syslogs do ESXi para rastrear padrões anômalos de consulta DNS originados de agentes de gerenciamento ou VMs, identificando domínios de alta frequência, baixo TTL ou não resolvíveis como suspeitos, correlacionando com atividade incomum de processos no plano de gerenciamento. A telemetria inclui syslogs do VMkernel, logs de hostd e monitoramento de tráfego de rede do plano de gerenciamento ESXi para correlacionar consultas DNS anômalas com comportamento de processo suspeito. Esse analítico é relevante porque implantes em hosts ESXi frequentemente utilizam DGA ou domínios de curta duração para comunicação C2, sendo difíceis de detectar sem monitoramento específico do plano de gerenciamento de virtualização. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1181](https://attack.mitre.org/detectionstrategies/DET0419#AN1181)*