实际发生了什么?
这通常归结于防病毒和其他安全工具的工作方式。许多现代安全产品会自动将不熟悉的可执行文件(如 Gorelo RMM Agent 安装程序)上传到基于云的沙箱环境进行分析。当该沙箱运行可执行文件时,代理就会被安装并显示在你的资产列表中。如何识别由沙箱创建的资产
当未知资产出现时,它们通常是反恶意软件供应商在沙箱环境中测试 Gorelo RMM Agent 的结果。遗憾的是,这些供应商并未公布其测试机器的命名约定,因此识别它们并不总是简单。 也就是说,有一些常见迹象表明资产是在自动化 AV/EDR 测试期间创建的:需要查找的内容
| 需要查找的内容 | 描述 | 示例/原因 |
|---|---|---|
| 奇怪或通用的主机名 | 不符合你网站常规命名标准的任何内容。 | John-PC、Wilbert、Cuckoo、CWS 或 ABC |
| 外部 IP 地址与你的环境不匹配 | 查找该 IP。 | 解析到类似以下内容:
|
| 缺失或极少的审计数据 | 这些测试资产通常不会做太多事情。有些可能显示完整的审计,但大多数信息很少或没有。 | |
| 资产仅签入过一次 | 在创建时在线,但此后再未上线。 | 沙箱执行的典型行为。 |
| 硬件规格低 | 资产可能显示运行 Windows 或报告的任何操作系统所需的最低硬件。 | |
| 通用用户名 | 测试机器上典型的用户名。 |
|