# AN1586 — Analytic 1586 ## Descrição Detecta acesso ao shell ESXi ou SSH emitindo `esxcli network diag ping` ou consultas de tabelas de roteamento para identificar hosts conectados ao ambiente de virtualização. A telemetria inclui logs de shell do ESXi (`/var/log/shell.log`), registros de autenticação SSH e histórico de comandos executados no hipervisor. A detecção é crítica em ambientes VMware ESXi, alvos frequentes de ransomware especializado (ex: grupos que utilizam criptografadores ESXi), onde a descoberta de rede precede o movimento lateral entre VMs. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1586](https://attack.mitre.org/detectionstrategies/DET0574#AN1586)*