# AN1558 — Analytic 1558 ## Descrição Este analítico detecta configuração de `HISTFILE` para vazio ou modificação de variáveis de histórico em sessões de shell ESXi, correlacionando sessões de shell suspeitas onde nenhum comando foi registrado apesar de atividade observada, indicando que um adversário desabilitou deliberadamente o histórico para encobrir atividades. A telemetria provém dos logs de shell do ESXi (`/var/log/shell.log`) e de registros de sessão do hostd que capturam conexões autenticadas, mas a ausência de entradas de comando no histórico combinada com atividade de sistema corroboram a evasão. A detecção é relevante em ambientes VMware onde adversários que obtiveram acesso via SSH ao ESXi frequentemente suprimem o histórico antes de executar comandos para desligar VMs e iniciar ransomware. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1562-006-indicator-blocking|T1562.006 — Impair Defenses: Indicator Blocking]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1558](https://attack.mitre.org/detectionstrategies/DET0563#AN1558)*