# AN1629 — Analytic 1629 ## Descrição Esta analítica detecta abuso de comandos `busybox` (especialmente `touch`) em ambientes ESXi para alterar timestamps de arquivos durante implantação de backdoors ou execução de técnicas de evasão, visando dificultar a reconstrução forense de ataques ao hipervisor. A telemetria inclui logs do ESXi Shell (`/var/log/shell.log`), monitoramento de execuções de `busybox touch` com flags de alteração de tempo em diretórios críticos do ESXi (`/etc/`, `/bin/`, `/vmfs/`), e alertas de integridade de logs via comparação de checksums. Esta detecção é crítica porque ataques a ESXi frequentemente envolvem modificação de arquivos de inicialização e scripts de persistência com timestamps falsos para simular arquivos nativos do sistema. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] --- *Fonte: [MITRE ATT&CK — AN1629](https://attack.mitre.org/detectionstrategies/DET0591#AN1629)*