# AN1541 — Analytic 1541 ## Descrição Este analítico detecta comandos como `esxcli system shutdown` ou `vim-cmd vmsvc/power.shutdown` executados fora de janelas de manutenção ou por usuários não autorizados no ESXi, correlacionando logs de reboot em `hostd.log` e logs de shell para identificar desligamentos não planejados de hosts de virtualização. A telemetria provém dos logs de shell do ESXi, logs do hostd e do vCenter que registram todos os comandos de gerenciamento executados com contexto de usuário e timestamp. A detecção é crítica para ambientes VMware pois desligamentos não autorizados de hosts ESXi são frequentemente o primeiro passo de ataques de ransomware direcionados à virtualização, permitindo ao adversário encriptar datastores sem interferência das VMs em execução. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1529-system-shutdown-reboot|T1529 — System Shutdown/Reboot]] - [[t1489-service-stop|T1489 — Service Stop]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1541](https://attack.mitre.org/detectionstrategies/DET0559#AN1541)*