SentinelOne の脅威検出について

No.09933

Grass さん　22/04/04 11:44　[ コメントを投稿する ]

お世話になっております。

SentinelOne (SentinelOne) で「HmFilerClassic.exe」が脅威として検出されてしまい、以下動作について問題有無 (仕様通りかどうか) をご教示していただけないでしょうか。

[動作]
PDF が30ファイルほどあるフォルダに対して、AcroCEF.exe プロセスが大量 (おそらくファイル数分) に呼び出されている。
(当該 PDF ファイルを実際に開いた訳ではなく、フォルダにアクセスしたのみ)

OS は、Windows 10 Pro (21H2) です。

ご回答のほど、よろしくお願いいたします。

[ △ ]

RE:09933 SentinelOne の脅威検出について

No.09934

秀丸担当 さん　22/04/04 12:58　[ コメントを投稿する ]

VirusTotalで確認してみたところでは、とりあえず試してみたV1.72 64bit版のHmFilerClassic.exeは、SentinelOne も含め大丈夫なようでした。
もし何か検出されるとしたら、exeファイルそのものではなく、実行中の動作について何かあるのかもしれません。

AcroCEF.exeはAdobeのPDF関連のプログラムの１つだと思いますが、Adobe Reader DCが入っているPCで確認してみたところでは内容で、どの製品のどの動作に対するものかちょっとわかりませんでした。
秀丸ファイラーClassicが明示的にこのプログラム名を指定して実行するということは無いですが、様々な拡張によっては、何でも起こり得ます。
一番典型的なのは、プレビューで、プレビュー枠を表示させていると、ファイルの選択を切り替えるたびに、別プログラムが起動するという動作になりやすいです。
PrevHost.exeだったりWordやExcelそのものだったり、pdfでもそうですが、プレビューハンドラというプログラムを備えているアプリは、起動したりします。

ファイル一覧を表示させただけで似たようなことがありそうなのは、縮小版で、サムネイルのアイコンを作成しようとすると、作成するプログラム側でexeが起動することはありえると思います。

[ △ ]

RE:09934 SentinelOne の脅威検出について

No.09935

Grass さん　22/04/04 13:42　[ コメントを投稿する ]

ご回答ありがとうございます。

バージョンを記載しておりませんでした。失礼いたしました。
V1.72 ではありませんでした。(既に最新化してしまい、以前のバージョンを失念いたしました...)

>秀丸ファイラーClassicが明示的にこのプログラム名を指定して実行するということは無いですが、様々な拡張によっては、何でも起こり得ます。
>一番典型的なのは、プレビューで、プレビュー枠を表示させていると、ファイルの選択を切り替えるたびに、別プログラムが起動するという動作になりやすいです。

プレビュー枠は表示させておりませんでした。
検知時のコールツリーとしては、このようになっておりまして...

[HmFilerClassic.exe -> Acrobat.exe -> AcroCEF.exe -> AcroCEF.exe (複数)]

この結果、秀丸ファイラーClassic が大量のプロセスをコールしているということで検知されました。
これは秀丸ファイラーClassic 特有の動作ではなく、「任意のプロセスを複数呼び出すような仕様はない」と考えてよろしいでしょうか。

もちろん拡張機能によって、様々な処理動作が考えられると思いますが、例えば HmFilerClassic.exe の不正利用によって全プロセスがコントロールされてしまうようなことはないか、というところを懸念いたしております。

恐れ入りますが、ご回答のほどよろしくお願いいたします。

[ △ ]

RE:09935 SentinelOne の脅威検出について

No.09936

秀丸担当 さん　22/04/04 14:29　[ コメントを投稿する ]

Windows Sandboxに新しくAdobe Reader DCを入れてみたら、普通にAdobe Reader DCでpdfを開くと、AcroCEF.exeも起動するようでした。
元々入っていたPCにもよく調べたらAcroCEF.exeは存在はしていましたが、なぜか起動はしていないようでした。
違いはわかりませんが、とにかくAdobe製品でpdfを開くと一緒に起動することがあるexeのようです。

プレビューでもAcrobat.exeは起動するようです。
選択ファイルだけなので、ファイルの数だけにはならないです。
仕様としては、プレビューハンドラという仕組みを使う場合は、EXEを起動する場合があります。
秀丸ファイラーClassicからEXEを起動する仕様になっています。エクスプローラもそういう仕様のもと動いているはずだと思います。

縮小版(サムネイル)を有効にしている場合でも、Acrobat.exeは起動するようです。
ファイルの数だけになる可能性はあると思いますが、試してみた限りでは、そうはなりませんでした。
仕様としては、EXEを起動する仕様にはなっていません。
サムネイルを作成する側の拡張DLLか何かがEXEを起動していたら、それは関知できないところです。

秀丸ファイラーClassic特有の動作としては、カラム拡張DLLがありました。
詳細表示で[表示]→[カスタマイズ...]で、「利用できるすべてのプロパティを表示」を出して、一番下あたりにある「DLL(...)」のプロパティは、秀丸ファイラーClassic特有の動作になります。
これは、特有ではありますが独自ではなく、Windows xpのエクスプローラまで存在し、Windows Vista以降廃止された、カラム拡張DLLです。
昔のカラム拡張の遺産を使えるというのが秀丸ファイラーClassicの特徴でもあるのですが、Adobe Reader DCは、現在の最新版でWindows 10にインストールしても律儀にカラム拡張DLLをインストールしてくれているようです。
これもDLLからEXEを起動するかは関知できないところですが、adobeのpdfのカラム拡張を使うと、acrobat.exeが起動するようです。
こちらで試した限りでは、ファイルの数だけになることは再現できなかったのですが、ファイルの数だけになることはありえると思います。

[ △ ]

RE:09936 SentinelOne の脅威検出について

No.09937

Grass さん　22/04/04 15:06　[ コメントを投稿する ]

ご回答ありがとうございます。

AcroCEF.exe の起動パターンは理解できました。

>秀丸ファイラーClassic特有の動作としては、カラム拡張DLLがありました。
>詳細表示で[表示]→[カスタマイズ...]で、「利用できるすべてのプロパティを表示」を出して、一番下あたりにある「DLL(...)」のプロパティは、秀丸ファイラーClassic特有の動作になります。

こちらは確認できませんでした。
「利用できる全てのプロパティ」リストの一番下でしょうか?

D から始まる項目は「DRM」しかありませんでした。

[ △ ]

RE:09937 SentinelOne の脅威検出について

No.09938

秀丸担当 さん　22/04/04 15:49　[ コメントを投稿する ]

カラム拡張は、あるとすれば、一番下の「秀丸ファイラー専用」の１つ上が、以下のようになっていると思います。
DLL(PDF Shell Extension)
Title
Subject
Author
Keywords

新しくダウンロードしたAdobe Reader DCをWindows Sandboxのまっさらな環境に入れて存在したので、昔の残骸ではなく今もあることは間違いないと思いますが、もしかしたら、製品の種類やインストールオプション、32bit/64bitによって違うのかもしれません。
無かったのなら、関係無いと思います。

[ △ ]

RE:09938 SentinelOne の脅威検出について

No.09939

Grass さん　22/04/05 06:44　[ コメントを投稿する ]

ご回答ありがとうございます。

>カラム拡張は、あるとすれば、一番下の「秀丸ファイラー専用」の１つ上が、以下のようになっていると思います。

再確認いたしましたが、やはりありませんでした。

AcroCEF.exe の大量呼び出しにつきましては、秀丸ファイラー特有の動作ではなく、以下のような場合に起こる可能性がある、ということで承知いたしました。

・Adobe Reader DC で PDFを開くと、AcroCEF.exe も起動する (この際複数起動する可能性あり (Adobe の仕様による?)
・秀丸ファイラーのプレビュー機能でも Acrobat.exeは起動する (但し選択ファイルのみ)
・縮小版(サムネイル)を有効にしている場合でも、Acrobat.exeは起動する (ファイルの数だけになる可能性はある)
・カラム拡張DLL (複数起動する可能性あり) => 元々は Windows の機能で、秀丸ファイラーで有効にすることができる => そもそも機能が無効であれば問題ない

これらはいずれも通常の操作上の話ですので...

先にも書かせていただきましたが「外部から秀丸ファイラーを不正利用し、他プロセスを乗っ取る...」といったことはできないと考えて良いでしょうか。
(今回の SentinelOne での検知が秀丸ファイラーの動作仕様上問題ない想定通りの動きなのか、異常な動きなのかを確認したい意図です)

何度も恐れ入りますが、よろしくお願いいたします。

[ △ ]

RE:09939 SentinelOne の脅威検出について

No.09940

秀丸担当 さん　22/04/05 09:51　[ コメントを投稿する ]

pdf関係のexeが実行されるケースは、ご理解の通りで合っています。

不正利用の可能性については、何らかの拡張DLLでやっていることは未知なので、何でも起こり得ますが、それが及ぶ範囲はエクスプローラや各アプリの「開く」ダイアログでもほぼ同じだと思います。（カラム拡張は特有ですが）
管理者権限の起動でなければ、ユーザーの範囲内になると思います。

ウィルス対策ソフトによると思いますが、エクスプローラは最初から安全とみなされてウィルスチェックの具合が緩かったりすることもあるようです。
他のアプリでは、安全とみなして除外設定をしたら、「開く」ダイアログの中の動作も一緒に全部除外されてしまうと思います。
そういう意味では、不審な動作をチェックできる個別のファイラーは、逆に有利かもしれません。

プロセスを多く起動することは、セキュリティというよりパフォーマンス面での検知の意味が強いかもしれません。

[ △ ]

RE:09940 SentinelOne の脅威検出について

No.09944

Grass さん　22/04/06 23:31　[ コメントを投稿する ]

内容承知いたしました。ありがとうございました！

[ △ ]

[ 新規に投稿する ]