# AN1297 — Analytic 1297 ## Descrição Detecta hosts ESXi iniciando conexões a partir de daemons não padrão que imitam tráfego HTTP/HTTPS ou SNMP, mas com formatos de payload irregulares ou certificados TLS expirados ou não assinados. A telemetria inclui syslogs do ESXi, logs de rede do vSphere e análise de tráfego de saída do hipervisor comparando fingerprints TLS com o comportamento esperado dos daemons VMware. Esta detecção é importante porque comprometimentos de hipervisores ESXi frequentemente envolvem implantes que utilizam portas de gerenciamento legítimas para comúnicações C2 encobertamente, permitindo controle persistente de toda a infraestrutura virtualizada. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1297](https://attack.mitre.org/detectionstrategies/DET0470#AN1297)*