Què està passant realment?
Això sol estar relacionat amb com funcionen els antivirus i altres eines de seguretat. Molts productes de seguretat moderns pugen automàticament executables desconeguts (com l’instal·lador de Gorelo RMM Agent) a entorns sandbox basats en núvol per a la seva anàlisi. Quan aquest sandbox executa l’executable, l’agent s’instal·la i apareix a la vostra llista d’actius.Com detectar actius creats per sandbox
Quan apareixen actius desconeguts, sovint són el resultat de proveïdors anti-malware que proven Gorelo RMM Agent en entorns sandbox. Malauradament, aquests proveïdors no publiquen convencions de noms per a les seves màquines de prova, així que identificar-les no sempre és senzill. Dit això, hi ha alguns signes comuns que indiquen que un actiu s’ha creat durant proves automatitzades d’AV/EDR:Què cal buscar
| Què cal buscar | Descripció | Exemples/Causes |
|---|---|---|
| Noms d’host estranys o genèrics | Qualsevol cosa que no segueixi els estàndards habituals de noms del vostre lloc. | John-PC, Wilbert, Cuckoo, CWS o ABC |
| L’adreça IP externa no coincideix amb el vostre entorn | Cerqueu la IP. | Es resol en alguna cosa com:
|
| Dades d’auditoria mínimes o que falten | Aquests actius de prova normalment no fan gran cosa. Alguns poden mostrar una auditoria completa, però la majoria tenen poca o gens d’informació. | |
| L’actiu només s’ha registrat una vegada | Estava en línia quan es va crear però no ha tornat des de llavors. | Comportament clàssic d’una execució en sandbox. |
| Especificacions de maquinari baixes | L’actiu pot mostrar el maquinari mínim necessari per executar Windows o qualsevol sistema operatiu reportat. | |
| Noms d’usuari genèrics | Noms d’usuari típics de màquines de prova. |
|