# AN1475 — Analytic 1475 ## Descrição Detecta instalação maliciosa de VIBs (vSphere Installation Bundles) para persistência via `esxcli software vib install` com flags `--force` ou `--no-sig-check`, habilitando scripts de inicialização ou regras de firewall customizadas que sobrevivem a reinicializações. A telemetria inclui logs de auditoria do ESXi, comandos esxcli executados via SSH e monitoramento de alterações em caminhos de inicialização persistente como `/etc/rc.local.d`. Esta analítica é crítica para ambientes de virtualização pois VIBs maliciosos constituem um método de persistência profunda em hipervisores — técnica documentada em campanhas de grupos APT que visam infraestrutura VMware, incluindo o malware VIPERGATE. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN1475](https://attack.mitre.org/detectionstrategies/DET0535#AN1475)*