<感染>Process Hackerウイルス悪用で検出セキュリティ製品 : 無題なログ

<感染>Process Hackerウイルス悪用で検出セキュリティ製品

Windows の タスクマネージャー のパワーアップ版という位置づけで使われている正規ツール「Process Hacker」。

一方、マルウェアの感染攻撃で正規ツール「Process Hacker」が悪用される場面があるそうで、カスペルスキー、シマンテック、トレンドマイクロといったセキュリティ会社が、正規ツール「Process Hacker」を Hacktool （ハックツール）や PUA （望ましくない可能性のあるアプリ）と検出するかもしれません。

【ウイルス検出名】
Kaspersky Not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen
Microsoft HackTool:Win32/ProcHack HackTool:Win64/ProcHack HackTool:Win32/ProcHack!MTB
Sophos Process Hacker (PUA)
Symantec Hacktool.ProcHack Hacktool.ProcHack!g1
Trend Micro PUA.Win32.ProcHack.A PUA.Win32.ProcHack.B PUA.Win32.ProcHack.B.component PUA.Win64.ProcHack.AC PUA.Win32.ProcHack.C.component

Process Hacker ツールの想定用途：
Process Hackerは、プロセスの特定と停止のために使用することを意図されたフリーのツールです。不正プログラムの検出、システムリソースの監視、ソフトウェアのデバッグに利用できます。また、このツールは暴走したプロセス、特定のファイルを使用しているプロセス、アクティブなネットワーク接続を持つプログラム、ディスクへのアクセスと使用状況に関するリアルタイムの情報などを特定できます。
https://blog.trendmicro.co.jp/archives/28681

こうなると、勝手に実行ファイルの「ProcessHacker.exe」が削除（駆除）されてしまうやもしれず、対応に困る場面もでてくるでしょう。

■ Porcess Hacker 正規バージョンの確認方法

ひとまず正当な場面で使って、問題のない「Process Hacker」かどうか確認する方法は、実行ファイルのデジタル署名の有無が手っ取り早いです。

＜署名は開発者さんの個人名～

－デジタル署名の名義－
Wen Jia Liu

マイクロソフトが Process Hacker 検出!?

以前、マイクロソフトも Windows Defender ウイルス対策 で「Process Hacker」を検出する対象にしていました。

ただ、「Process Hacker」の公式サイトから正規にダウンロードできる正式バージョン（バージョン 2.39～）については、いちおう検出する対象から外したとマイクロソフトは表明しています。

HackTool:Win32/ProcHack
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=HackTool:Win32/ProcHack

このマルウェアは、セキュリティ関連サービスを改ざんしたり、DLL Search Order Hijacking （DLL 検索順序ハイジャック）や他の攻撃テクニックを実行するため、脅威アクターによって使用される Process Hacker ツールの改変バージョンです。

注：
この名称での以前の検出は、悪意のある目的で使用される Process Hacker の改変されていない正当なバージョンにも適用されていました。2019 年 12 月にリリースされたセキュリティインテリジェンスのバージョン 1.307.674.0 で、そのような不正確な検出に対処しました。現在、この名称での検出は、Process Hacker の改変バージョンだけに適用されます。しかし、マイクロソフトは正当なツールの悪意のある使用を捕捉する振る舞い検出を継続しています。

この中で、”改変バージョン” って何???

実は、正規ツール「Process Hacker」はオープンソースということでソースコードが公開されているので、悪意のある第三者がマルウェア感染攻撃で悪用するためだけの改変された「Process Hacker」を開発できるリスクが存在する形です。