# AN1257 — Analytic 1257 ## Descrição Detecta tráfego VMCI (Virtual Machine Commúnication Interface) entre guest e host, ou entre VMs, originado de ferramentas não de gerenciamento ou binários não autorizados em ambientes ESXi. A telemetria inclui logs do VMkernel e auditoria de comúnicações inter-VM que registram tráfego VMCI fora dos padrões de gerenciamento aprovados. Essa análise é crítica para detectar técnicas de escape de VM onde adversários comprometidos no guest tentam se comunicar com o hipervisor ou outras VMs para movimentação lateral. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1257](https://attack.mitre.org/detectionstrategies/DET0457#AN1257)*