# AN1602 — Analytic 1602 ## Descrição Esta analítica detecta conexões HTTPS de saída iniciadas por shells ESXi ou tarefas agendadas em direção a serviços públicos conhecidos, sem retorno de entrada ou resposta registrável — padrão característico de download de instruções de comando e controle. A telemetria utilizada inclui logs de rede do hipervisor (`/var/log/hostd.log`, `syslog`) e registros de tarefas agendadas via `vim-cmd` ou `esxcli`. Este comportamento é crítico de detectar porque adversários utilizam essa técnica para manter persistência e receber comandos em ambientes ESXi onde o monitoramento é frequentemente limitado. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] --- *Fonte: [MITRE ATT&CK — AN1602](https://attack.mitre.org/detectionstrategies/DET0581#AN1602)*