Que se passe-t-il vraiment?
Cela tient généralement à la façon dont les antivirus et autres outils de sécurité fonctionnent. Plusieurs produits de sécurité modernes téléversent automatiquement les exécutables inconnus (comme l’installeur Gorelo RMM Agent) vers des environnements de bac à sable dans le nuage pour analyse. Lorsque ce bac à sable exécute l’exécutable, l’agent est installé et apparaît dans votre liste d’actifs.Comment repérer les actifs créés par les bacs à sable
Lorsque des actifs inconnus apparaissent, ils sont souvent le résultat de tests effectués par des fournisseurs d’antimaliciels sur Gorelo RMM Agent dans des environnements de bac à sable. Malheureusement, ces fournisseurs ne publient pas de conventions de nommage pour leurs machines de test, donc les identifier n’est pas toujours simple. Cela dit, il y a quelques signes courants qu’un actif a été créé pendant des tests automatisés d’AV/EDR :À surveiller
| À surveiller | Description | Exemples/Causes |
|---|---|---|
| Noms d’hôte étranges ou génériques | Tout ce qui ne suit pas les conventions habituelles de votre site. | John-PC, Wilbert, Cuckoo, CWS ou ABC |
| L’adresse IP externe ne correspond pas à votre environnement | Faites une recherche sur l’IP. | Elle se résout vers quelque chose comme :
|
| Données d’audit manquantes ou minimales | Ces actifs de test ne font généralement pas grand-chose. Certains peuvent afficher un audit complet, mais la plupart ont peu ou pas d’informations. | |
| L’actif ne s’est enregistré qu’une seule fois | Il était en ligne lors de sa création, mais ne l’a plus été depuis. | Comportement classique d’une exécution en bac à sable. |
| Spécifications matérielles faibles | L’actif peut afficher le strict minimum de matériel nécessaire pour exécuter Windows ou le SE rapporté. | |
| Noms d’utilisateur génériques | Noms d’utilisateur typiques sur des machines de test. |
|