# AN1537 — Analytic 1537 ## Descrição Este analítico detecta uso suspeito de ferramentas nativas de CLI do ESXi como `esxcli` e `vim-cmd` por usuários não autorizados ou fora de janelas de manutenção aprovadas, com foco em ações como parada de VMs, reconfiguração de rede ou firewall, e habilitação de SSH ou logging. A telemetria provém de logs de shell do ESXi (`/var/log/shell.log`), logs do hostd e eventos de auditoria do vCenter que registram comandos executados com contexto de usuário e timestamp. A detecção é crítica para ambientes de virtualização pois adversários como grupos de ransomware frequentemente abusam dessas ferramentas para desligar VMs antes de criptografar datastores, como observado em ataques do grupo Scattered Spider e BlackCat contra infraestrutura VMware. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1537](https://attack.mitre.org/detectionstrategies/DET0558#AN1537)*