# AN1431 — Analytic 1431 ## Descrição Detecta o uso de comandos 'esxcli system' ou execução direta de intérpretes como busybox shell invocados via SSH ou terminal do host ESXi de forma inesperada, indicando possível comprometimento da infraestrutura de virtualização. A telemetria baseia-se em logs de shell do ESXi e eventos de autenticação SSH que registram sessões e comandos executados interativamente ou via scripts automatizados no host do hypervisor. Essa detecção é crítica para ambientes VMware ESXi, que têm sido alvo frequente de grupos de ransomware como LockBit, BlackBasta e ESXiArgs que exploram acesso ao hypervisor para cifrar múltiplas VMs simultaneamente e causar impacto máximo em infraestrutura corporativa. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1021-004-ssh|T1021.004 — SSH]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN1431](https://attack.mitre.org/detectionstrategies/DET0516#AN1431)*