# DET0232 — Detection Strategy for ESXi Administration Command ## Descrição Esta estratégia detecta o uso malicioso de comandos de administração ESXi (hypervisor VMware) para impactar VMs, exfiltrar configurações ou implantar ransomware em ambientes de virtualização. Grupos como BlackCat/ALPHV, LockBit e Cheerscrypt desenvolveram variantes específicas para ESXi que encriptam discos VMDK e desativam VMs em massa. Os indicadores de abuso incluem: execução de `esxcli`, `vim-cmd` ou `esxcfg-*` para desligar ou destruir VMs, criação de snapshots não autorizados para exfiltração, e acesso à shell ESXi via SSH em horário atípico ou por IP não pertencente ao range de gestão. A execução de comandos via `vSphere API` por contas de serviço comprometidas também é vetor comum. A telemetria requer logging de shell ESXi habilitado (por padrão desativado), auditoria de API vSphere via vCenter logs, alertas para acesso SSH ao host ESXi diretamente (bypass do vCenter), e inventário de snapshots e estados de VMs para detecção de remoções em massa. ## Indicadores de Detecção - Acesso SSH direto ao host ESXi de IP não pertencente ao range de gestão - Execução de `vim-cmd vmsvc/power.off` ou `esxcli vm process kill` para múltiplas VMs - Criação de snapshot não programado seguido de download de arquivo VMDK - Comando `esxcli storage filesystem` seguido de acesso a caminhos de datastore incomuns - Login na vSphere API com conta de serviço em horário fora da janela de manutenção - Desativação do serviço de logging ESXi (`esxcli system syslog`) por sessão ativa ## Técnicas Relacionadas - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[T1021.004-ssh|T1021.004 — SSH]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1489-service-stop|T1489 — Service Stop]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0646-analytic-0646|AN0646 — Analytic 0646]] --- *Fonte: [MITRE ATT&CK — DET0232](https://attack.mitre.org/detectionstrategies/DET0232)*