SentinelOne の脅威検出について - 秀丸ファイラーClassicβ版 - スレッド09933, 2022/04/04

SentinelOne の脅威検出について

Grass さん　22/04/04 11:44

お世話になっております。

SentinelOne (SentinelOne) で「HmFilerClassic.exe」が脅威として検出されてしま
い、以下動作について問題有無 (仕様通りかどうか) をご教示していただけないでし
ょうか。

[動作]
PDF が30ファイルほどあるフォルダに対して、AcroCEF.exe プロセスが大量 (おそら
くファイル数分) に呼び出されている。
(当該 PDF ファイルを実際に開いた訳ではなく、フォルダにアクセスしたのみ)

OS は、Windows 10 Pro (21H2) です。

ご回答のほど、よろしくお願いいたします。

RE:09933 SentinelOne の脅威検出について

秀丸担当 さん　22/04/04 12:58

VirusTotalで確認してみたところでは、とりあえず試してみたV1.72 64bit版のHmFil
erClassic.exeは、SentinelOne も含め大丈夫なようでした。
もし何か検出されるとしたら、exeファイルそのものではなく、実行中の動作につい
て何かあるのかもしれません。

AcroCEF.exeはAdobeのPDF関連のプログラムの１つだと思いますが、Adobe Reader DC
が入っているPCで確認してみたところでは内容で、どの製品のどの動作に対するもの
かちょっとわかりませんでした。
秀丸ファイラーClassicが明示的にこのプログラム名を指定して実行するということ
は無いですが、様々な拡張によっては、何でも起こり得ます。
一番典型的なのは、プレビューで、プレビュー枠を表示させていると、ファイルの選
択を切り替えるたびに、別プログラムが起動するという動作になりやすいです。
PrevHost.exeだったりWordやExcelそのものだったり、pdfでもそうですが、プレビ
ューハンドラというプログラムを備えているアプリは、起動したりします。

ファイル一覧を表示させただけで似たようなことがありそうなのは、縮小版で、サム
ネイルのアイコンを作成しようとすると、作成するプログラム側でexeが起動するこ
とはありえると思います。

RE:09934 SentinelOne の脅威検出について

Grass さん　22/04/04 13:42

ご回答ありがとうございます。

バージョンを記載しておりませんでした。失礼いたしました。
V1.72 ではありませんでした。(既に最新化してしまい、以前のバージョンを失念い
たしました...)

>秀丸ファイラーClassicが明示的にこのプログラム名を指定して実行するということ
>は無いですが、様々な拡張によっては、何でも起こり得ます。
>一番典型的なのは、プレビューで、プレビュー枠を表示させていると、ファイルの
>選択を切り替えるたびに、別プログラムが起動するという動作になりやすいです。

プレビュー枠は表示させておりませんでした。
検知時のコールツリーとしては、このようになっておりまして...

[HmFilerClassic.exe -> Acrobat.exe -> AcroCEF.exe -> AcroCEF.exe (複数)]

この結果、秀丸ファイラーClassic が大量のプロセスをコールしているということで
検知されました。
これは秀丸ファイラーClassic 特有の動作ではなく、「任意のプロセスを複数呼び出
すような仕様はない」と考えてよろしいでしょうか。

もちろん拡張機能によって、様々な処理動作が考えられると思いますが、例えば HmF
ilerClassic.exe の不正利用によって全プロセスがコントロールされてしまうような
ことはないか、というところを懸念いたしております。

恐れ入りますが、ご回答のほどよろしくお願いいたします。

RE:09935 SentinelOne の脅威検出について

秀丸担当 さん　22/04/04 14:29

Windows Sandboxに新しくAdobe Reader DCを入れてみたら、普通にAdobe Reader DC
でpdfを開くと、AcroCEF.exeも起動するようでした。
元々入っていたPCにもよく調べたらAcroCEF.exeは存在はしていましたが、なぜか起
動はしていないようでした。
違いはわかりませんが、とにかくAdobe製品でpdfを開くと一緒に起動することがある
exeのようです。

プレビューでもAcrobat.exeは起動するようです。
選択ファイルだけなので、ファイルの数だけにはならないです。
仕様としては、プレビューハンドラという仕組みを使う場合は、EXEを起動する場合
があります。
秀丸ファイラーClassicからEXEを起動する仕様になっています。エクスプローラもそ
ういう仕様のもと動いているはずだと思います。

縮小版(サムネイル)を有効にしている場合でも、Acrobat.exeは起動するようです。
ファイルの数だけになる可能性はあると思いますが、試してみた限りでは、そうはな
りませんでした。
仕様としては、EXEを起動する仕様にはなっていません。
サムネイルを作成する側の拡張DLLか何かがEXEを起動していたら、それは関知できな
いところです。

秀丸ファイラーClassic特有の動作としては、カラム拡張DLLがありました。
詳細表示で[表示]→[カスタマイズ...]で、「利用できるすべてのプロパティを表
示」を出して、一番下あたりにある「DLL(...)」のプロパティは、秀丸ファイラーCl
assic特有の動作になります。
これは、特有ではありますが独自ではなく、Windows xpのエクスプローラまで存在し、
Windows Vista以降廃止された、カラム拡張DLLです。
昔のカラム拡張の遺産を使えるというのが秀丸ファイラーClassicの特徴でもあるの
ですが、Adobe Reader DCは、現在の最新版でWindows 10にインストールしても律儀
にカラム拡張DLLをインストールしてくれているようです。
これもDLLからEXEを起動するかは関知できないところですが、adobeのpdfのカラム拡
張を使うと、acrobat.exeが起動するようです。
こちらで試した限りでは、ファイルの数だけになることは再現できなかったのですが、
ファイルの数だけになることはありえると思います。

RE:09936 SentinelOne の脅威検出について

Grass さん　22/04/04 15:06

ご回答ありがとうございます。

AcroCEF.exe の起動パターンは理解できました。

>秀丸ファイラーClassic特有の動作としては、カラム拡張DLLがありました。
>詳細表示で[表示]→[カスタマイズ...]で、「利用できるすべてのプロパティを表
>示」を出して、一番下あたりにある「DLL(...)」のプロパティは、秀丸ファイラーC
>lassic特有の動作になります。

こちらは確認できませんでした。
「利用できる全てのプロパティ」リストの一番下でしょうか?

D から始まる項目は「DRM」しかありませんでした。

RE:09937 SentinelOne の脅威検出について

秀丸担当 さん　22/04/04 15:49

カラム拡張は、あるとすれば、一番下の「秀丸ファイラー専用」の１つ上が、以下の
ようになっていると思います。
DLL(PDF Shell Extension)
Title
Subject
Author
Keywords

新しくダウンロードしたAdobe Reader DCをWindows Sandboxのまっさらな環境に入れ
て存在したので、昔の残骸ではなく今もあることは間違いないと思いますが、もしか
したら、製品の種類やインストールオプション、32bit/64bitによって違うのかもし
れません。
無かったのなら、関係無いと思います。

RE:09938 SentinelOne の脅威検出について

Grass さん　22/04/05 06:44

ご回答ありがとうございます。

>カラム拡張は、あるとすれば、一番下の「秀丸ファイラー専用」の１つ上が、以下
>のようになっていると思います。

再確認いたしましたが、やはりありませんでした。

AcroCEF.exe の大量呼び出しにつきましては、秀丸ファイラー特有の動作ではなく、
以下のような場合に起こる可能性がある、ということで承知いたしました。

・Adobe Reader DC で PDFを開くと、AcroCEF.exe も起動する (この際複数起動する
可能性あり (Adobe の仕様による?)
・秀丸ファイラーのプレビュー機能でも Acrobat.exeは起動する (但し選択ファイル
のみ)
・縮小版(サムネイル)を有効にしている場合でも、Acrobat.exeは起動する (ファイ
ルの数だけになる可能性はある)
・カラム拡張DLL (複数起動する可能性あり) => 元々は Windows の機能で、秀丸フ
ァイラーで有効にすることができる => そもそも機能が無効であれば問題ない

これらはいずれも通常の操作上の話ですので...

先にも書かせていただきましたが「外部から秀丸ファイラーを不正利用し、他プロセ
スを乗っ取る...」といったことはできないと考えて良いでしょうか。
(今回の SentinelOne での検知が秀丸ファイラーの動作仕様上問題ない想定通りの動
きなのか、異常な動きなのかを確認したい意図です)

何度も恐れ入りますが、よろしくお願いいたします。

RE:09939 SentinelOne の脅威検出について

秀丸担当 さん　22/04/05 09:51

pdf関係のexeが実行されるケースは、ご理解の通りで合っています。

不正利用の可能性については、何らかの拡張DLLでやっていることは未知なので、何
でも起こり得ますが、それが及ぶ範囲はエクスプローラや各アプリの「開く」ダイア
ログでもほぼ同じだと思います。（カラム拡張は特有ですが）
管理者権限の起動でなければ、ユーザーの範囲内になると思います。

ウィルス対策ソフトによると思いますが、エクスプローラは最初から安全とみなされ
てウィルスチェックの具合が緩かったりすることもあるようです。
他のアプリでは、安全とみなして除外設定をしたら、「開く」ダイアログの中の動作
も一緒に全部除外されてしまうと思います。
そういう意味では、不審な動作をチェックできる個別のファイラーは、逆に有利かも
しれません。

プロセスを多く起動することは、セキュリティというよりパフォーマンス面での検知
の意味が強いかもしれません。

RE:09940 SentinelOne の脅威検出について

Grass さん　22/04/06 23:31

内容承知いたしました。ありがとうございました！