# AN1554 — Analytic 1554 ## Descrição Este analítico detecta a cadeia comportamental de válidação de ambiente de hypervisor ESXi usada por malware: enumeração de inventário e configuração de VMs via `vim-cmd` e `esxcli`, descoberta de configuração de hardware e rede do host para válidação do ambiente de virtualização, reconhecimento de datastores e configurações de armazenamento, válidação de conectividade vCenter e associação ao cluster, e implantação seletiva de malware baseada nas características da infraestrutura de virtualização. A telemetria provém dos logs de shell do ESXi (`/var/log/shell.log`) e do vCenter Audit Log que registram todos os comandos executados com contexto de usuário e sequência temporal. A detecção é crítica pois ransomware direcionado a VMware (como ESXiArgs, BlackCat e Agenda) realiza válidação extensiva antes de encriptar datastores para maximizar impacto. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN1554](https://attack.mitre.org/detectionstrategies/DET0562#AN1554)*