# AN1334 — Analytic 1334 ## Descrição Monitora syslog do ESXi e saídas de `esxcli` para comportamento anômalo do resolver DNS, como mudanças frequentes de domínio para IP ou modificações não autorizadas das configurações DNS usadas por agentes de gerenciamento, correlacionando consultas de domínio com valores de TTL curtos. A telemetria inclui syslogs do VMware ESXi, saídas de `esxcli network ip dns search list` e `esxcli network ip connection list`, além de alertas sobre modificações de configuração DNS no hipervisor. Esta detecção é relevante porque malware ESXi avançado pode utilizar fast flux DNS para comúnicações C2 encobertamente a partir do hipervisor, aproveitando a conectividade de rede do hypervisor que frequentemente tem menos inspeção de segurança do que endpoints convencionais. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1568-001-fast-flux-dns|T1568.001 — Fast Flux DNS]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1334](https://attack.mitre.org/detectionstrategies/DET0485#AN1334)*