實際發生了什麼?
這通常與防毒與其他安全工具的運作方式有關。許多現代安全產品會自動將不熟悉的執行檔(例如 Gorelo RMM Agent 安裝程式)上傳到雲端沙箱環境進行分析。當沙箱執行該執行檔時,agent 就會被安裝並出現在你的資產清單中。如何辨識由沙箱建立的資產
當出現未知資產時,這通常是反惡意軟體供應商在沙箱環境中測試 Gorelo RMM Agent 的結果。不幸的是,這些供應商並未公開其測試機器的命名規則,所以辨識並不總是直接的。 不過,仍有幾個常見跡象可顯示某資產是在自動化 AV/EDR 測試中建立的:要留意的特徵
| 要留意的特徵 | 說明 | 範例/成因 |
|---|---|---|
| 奇怪或通用的主機名稱 | 任何不符合你站點通常命名標準的名稱。 | John-PC、Wilbert、Cuckoo、CWS 或 ABC |
| 外部 IP 位址與你的環境不符 | 查詢該 IP。 | 它解析為類似下列來源:
|
| 缺少或極少的稽核資料 | 這些測試資產通常不會做太多事情。有些可能顯示完整稽核資料,但大多數很少或沒有資訊。 | |
| 資產僅檢入一次 | 建立時在線,但之後沒再回來。 | 沙箱執行的典型行為。 |
| 硬體規格極低 | 資產可能只顯示執行 Windows 或所回報作業系統所需的最低硬體。 | |
| 通用使用者名稱 | 在測試機器上常見的使用者名稱。 |
|