# AN1232 — Analytic 1232 ## Descrição Detecta uso direto de nc, socat ou scripts de túnel reverso iniciados por contextos de usuário anômalos ou VIBs não autorizados que iniciam conexões do hipervisor ESXi para sistemas externos. A telemetria inclui logs de shell ESXi, auditoria de VIBs instalados e análise de tráfego de rede originado do host de virtualização. Essa análise é crítica em ambientes virtualizados, pois um comprometimento do hipervisor pode impactar todas as VMs hospedadas. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1232](https://attack.mitre.org/detectionstrategies/DET0445#AN1232)*