# AN1392 — Analytic 1392 ## Descrição Detecta tráfego de saída criptografado inesperado de serviços de gerenciamento ESXi — como `hostd` — ou VMs convidadas utilizando criptografia simétrica sem protocolos tradicionais, como FTP com texto cifrado AES embutido. A telemetria inclui logs de rede do hypervisor, análise de tráfego de serviços ESXi e inspeção de protocolos de gerenciamento para padrões de dados com entropia elevada. Exfiltração via ESXi é particularmente perigosa pois contorna controles de segurança das VMs individuais, operando no nível do hypervisor. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1554-compromise-client-software-binary|T1554 — Compromise Client Software Binary]] --- *Fonte: [MITRE ATT&CK — AN1392](https://attack.mitre.org/detectionstrategies/DET0503#AN1392)*