# AN1574 — Analytic 1574 ## Descrição Este analítico detecta processos ESXi incomuns como `vmx` ou `hostd` lendo arquivos de datastore e gerando tráfego HTTPS de saída para endpoints de armazenamento em nuvem externos, correlacionando atividade anômala de datastore com transferências de rede para serviços como Dropbox, AWS S3 ou outros provedores de armazenamento. A telemetria combina logs do hostd e vmkernel do ESXi que registram atividade de datastore com eventos de rede capturados pelo vSphere Distributed Switch ou NSX que identificam conexões de saída incomuns de hosts de virtualização. A relevância é alta pois exfiltração de datastores ESXi representa risco extremo dado que VMs inteiras, snapshots e dados de configuração crítica podem ser extraídos de forma silenciosa por adversários com acesso a nível de hypervisor. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1574](https://attack.mitre.org/detectionstrategies/DET0570#AN1574)*