# AN1379 — Analytic 1379 ## Descrição Detecta tráfego de saída originado de serviços de gerenciamento do host ESXi ou de interações guest-to-host em interfaces incomuns, como endpoints de API de backdoor ou tuneis VPN externos não autorizados. Utiliza syslog do ESXi, análise de tráfego de rede em interfaces de gerenciamento e monitoramento de chamadas de API do hostd para identificar comúnicações de saída anômalas em ambientes de virtualização. Crítico para detectar backdoors como VIRTUALPITA e VIRTUALPIE que implantam canais de comunicação persistentes em hypervisors ESXi comprometidos para manter acesso encoberto à infraestrutura virtualizada. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1379](https://attack.mitre.org/detectionstrategies/DET0499#AN1379)*