# AN1515 — Analytic 1515 ## Descrição Detecta processos do sistema operacional guest ESXi ou da interface de gerenciamento estabelecendo conexões HTTPS externas inesperadas com transferência significativa de dados. A telemetria inclui logs dos processos vmx e hostd, análise de fluxo de rede para tráfego de saída de origem de gerenciamento do hipervisor e correlação com operações administrativas que não justificam transferências de dados volumosas. Esta analítica é crítica para detectar exfiltração de dados por implantes em hipervisores ESXi, onde adversários aproveitam a visibilidade do hipervisor sobre todas as VMs hospedadas para coletar e exfiltrar dados de múltiplos sistemas simultaneamente. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1515](https://attack.mitre.org/detectionstrategies/DET0548#AN1515)*