# AN1499 — Analytic 1499 ## Descrição Detecta serviços VMware (hostd, vpxa) negociando inesperadamente sessões de criptografia assimétrica para endpoints externos fora do vCenter ou servidores de atualização. A telemetria inclui logs de serviços ESXi, análise de handshakes criptografados em logs de rede e monitoramento de padrões de comunicação de daemons de gerenciamento que desviam da linha de base. Esta analítica é importante para detectar implantes em hipervisores ESXi que estabelecem canais C2 criptografados usando os próprios processos de gerenciamento VMware, tornando a comunicação maliciosa difícil de distinguir do tráfego administrativo legítimo. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1499](https://attack.mitre.org/detectionstrategies/DET0543#AN1499)*