# AN1510 — Analytic 1510 ## Descrição Detecta o uso de plugins da interface web ESXi ou extensões vSphere para incorporar scripts ou serviços maliciosos persistentes. A telemetria inclui logs de auditoria do ESXi, monitoramento de instalação de extensões vSphere e análise de modificações em arquivos de configuração do servidor web do hipervisor. Esta analítica é importante porque extensões maliciosas do vSphere/ESXi constituem um mecanismo de persistência avançado que sobrevive a reinicializações do hipervisor, técnica documentada em ataques de grupos APT que visam específicamente comprometer a camada de virtualização para maximizar o impacto de um único comprometimento. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1510](https://attack.mitre.org/detectionstrategies/DET0547#AN1510)*