det0558-detection-strategy-for-esxi-hypervisor-cli-abuse

# DET0558 — Detection Strategy for ESXi Hypervisor CLI Abuse ## Descrição Adversários com acesso ao hypervisor VMware ESXi frequentemente exploram utilitários de linha de comando nativos — como `esxcli`, `vim-cmd` e `esxcfg-*` — para realizar descoberta de VMs, alterar configurações de rede, desativar logs e implantar malware diretamente no datastore. Ataques de ransomware como ALPHV/BlackCat e grupos como [[unc2447]] utilizam esse vetor após comprometer credenciais de acesso ao ESXi via VPN ou RDP exposto. O foco desta estratégia é monitorar a execução de comandos CLI no host ESXi, especialmente sequências suspeitas que envolvem enumeração de VMs (`vim-cmd vmsvc/getallvms`), alteração de regras de firewall (`esxcli network firewall ruleset set`) e acesso direto a datastores via SFTP ou SCP. O uso de ferramentas legítimas para fins maliciosos (living-off-the-land) torna a detecção baseada em comportamento essencial. Correlacionar logs de shell do ESXi com horários de acesso fora do padrão operacional e usuários não administrativos é fundamental. A habilitação de syslog remoto no ESXi e o envio para um SIEM central são pré-requisitos para detecção eficaz, pois o host não preserva logs após reinicialização por padrão. ## Indicadores de Detecção - Execução de `esxcli vm process kill` ou `vim-cmd vmsvc/power.off` em horário atípico - Acesso SSH ao host ESXi por conta não-administrativa ou de serviço - Transferência de arquivos via SCP/SFTP para ou do datastore do ESXi - Alteração de regras de firewall do ESXi via `esxcli network firewall` - Criação ou modificação de arquivos `.vmx` ou `.vmdk` fora de janela de manutenção - Desabilitação do serviço de log (`esxcli system syslog` com parâmetros suspeitos) ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] ## Analytics Relacionadas - [[an1537-analytic-1537|AN1537 — Analytic 1537]] --- *Fonte: [MITRE ATT&CK — DET0558](https://attack.mitre.org/detectionstrategies/DET0558)*