# AN1416 — Analytic 1416 ## Descrição Detecta conexões cifradas de saída inesperadas de componentes de gerenciamento ESXi ou VMs guest utilizando TLS, especialmente após picos de volume de dados ou orquestração baseada em scripts a partir de ambientes guest. A telemetria inclui logs do vCenter e ESXi que registram conexões de rede por processo, eventos de execução de scripts no host e anomalias de tráfego de rede das interfaces de gerenciamento. Essa detecção é especialmente relevante após incidentes como o ransomware ESXiArgs e ataques de grupos como UNC3886, que visam infraestruturas de virtualização para exfiltrar dados ou implantar ransomware em múltiplas VMs simultaneamente. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1416](https://attack.mitre.org/detectionstrategies/DET0512#AN1416)*