# AN1387 — Analytic 1387 ## Descrição Detecta abuso do shell ESXi ou VMFS para ocultar arquivos de datastore, renomeando ou movendo arquivos VMDK ou VMX para diretórios ocultos em ambientes de virtualização comprometidos. Utiliza syslog do ESXi e auditoria de operações de shell para identificar comandos anômalos de operação de arquivos no shell ESXi que obscurecem artefatos de máquinas virtuais como discos, snapshots e arquivos de configuração. Crítico para detectar ataques direcionados a hipervisores como os realizados pelo grupo UNC3886 que ocultam ferramentas e dados em estruturas de datastore para persistência de longo prazo em ambientes VMware ESXi. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1387](https://attack.mitre.org/detectionstrategies/DET0502#AN1387)*