# AN1486 — Analytic 1486 ## Descrição Detecta daemons VMware ou processos de usuário encapsulando tráfego (por exemplo, VMs guest tunelizando via hostd), com serviços de rede dentro do ESXi criando fluxos inconsistentes com o tráfego do plano de gerenciamento, como SSH forwarding ou DNS-over-HTTPS de interfaces de gerenciamento. A telemetria inclui logs de serviços ESXi (hostd, vpxa), análise de fluxos de rede via NetFlow e monitoramento de conexões de saída de daemons de gerenciamento para destinos externos. Esta analítica é importante para detectar implantes em hipervisores que usam os próprios serviços VMware como canais de C2, técnica documentada em campanhas avançadas contra infraestrutura de virtualização empresarial. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1486](https://attack.mitre.org/detectionstrategies/DET0538#AN1486)*