O que está realmente acontecendo?
Isso geralmente está relacionado a como antivírus e outras ferramentas de segurança funcionam. Muitos produtos modernos de segurança enviam automaticamente executáveis desconhecidos (como o instalador do Gorelo RMM Agent) para ambientes sandbox em nuvem para análise. Quando esse sandbox executa o executável, o agente é instalado e aparece na sua lista de ativos.Como identificar ativos criados por sandboxing
Quando ativos desconhecidos aparecem, geralmente são resultado de fornecedores antimalware testando o Gorelo RMM Agent em ambientes sandbox. Infelizmente, esses fornecedores não publicam convenções de nomenclatura para suas máquinas de teste, então identificá-los nem sempre é simples. Dito isso, há alguns sinais comuns de que um ativo foi criado durante teste automático de AV/EDR:O que procurar
| O que procurar | Descrição | Exemplos/Causas |
|---|---|---|
| Hostnames estranhos ou genéricos | Qualquer coisa que não siga os padrões usuais do seu site. | John-PC, Wilbert, Cuckoo, CWS ou ABC |
| O endereço IP externo não corresponde ao seu ambiente | Procure o IP. | Ele resolve para algo como:
|
| Dados de auditoria ausentes ou mínimos | Esses ativos de teste geralmente não fazem muito. Alguns mostram uma auditoria completa, mas a maioria tem pouca ou nenhuma informação. | |
| O ativo só fez check-in uma vez | Estava online quando foi criado, mas não voltou desde então. | Comportamento clássico de uma execução em sandbox. |
| Especificações de hardware baixas | O ativo pode mostrar o mínimo de hardware necessário para rodar o Windows ou o SO reportado. | |
| Nomes de usuário genéricos | Nomes de usuário comuns em máquinas de teste. |
|