# AN1640 — Analytic 1640 ## Descrição Esta analítica detecta login SSH em ambientes ESXi registrado via `hostd` ou `/var/log/auth.log`, seguido de acesso ao shell do host ou manipulação de arquivos em áreas restritas do hipervisor, padrão observado em ataques que visam comprometer a infraestrutura de virtualização. A telemetria inclui logs de autenticação ESXi SSH, registros hostd (`/var/log/hostd.log`) e correlação com comandos executados pós-login como acesso a diretórios de VMs (`/vmfs/volumes/`), criação de backdoors ou modificações em configurações de rede do hipervisor. Esta detecção é de alta prioridade porque acesso SSH ao ESXi com credenciais válidas compromete toda a infraestrutura de VMs hospedada no hipervisor. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN1640](https://attack.mitre.org/detectionstrategies/DET0596#AN1640)*