# AN1286 — Analytic 1286 ## Descrição Detecta o abuso de contas privilegiadas padrão geradas pelo sistema, como `root` ou `vpxuser`, realizando logins em hosts ESXi. A telemetria inclui logs de autenticação do VMware ESXi (`/var/log/auth.log` e syslog do hipervisor), eventos de sessão SSH e registros de acesso via vSphere API. Esta detecção é crítica em ambientes de virtualização porque o comprometimento de contas privilegiadas em ESXi permite que adversários controlem múltiplas máquinas virtuais e potencialmente realizem ataques de ransomware em toda a infraestrutura de VMs. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1078-001-default-accounts|T1078.001 — Default Accounts]] - [[t1021-004-ssh|T1021.004 — SSH]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN1286](https://attack.mitre.org/detectionstrategies/DET0465#AN1286)*