detecting-process-hollowing-technique

detecting-process-hollowing-technique skill の概要

detecting-process-hollowing-technique skill は、プロセス作成、メモリ改ざん、親子関係の異常を相関させることで、Windows テレメトリから process hollowing（MITRE ATT&CK T1055.012）を見つけ出すのに役立ちます。汎用的な process injection の説明ではなく、実務で使える detecting-process-hollowing-technique for Threat Hunting のワークフローを求める脅威ハンター、検知エンジニア、インシデントレスポンダーに最適です。

この skill は何のためのものか

この skill は、疑わしいプロセスが本当に hollowed されているのか、それとも単に普段と違うだけなのかを判断したいときに使います。対象は、停止状態でのプロセス作成、イメージの不一致、リモートメモリ書き込み、スレッド再開後の不自然な実行フローといった、運用上重要なシグナルです。

実際のハントで役立つ理由

detecting-process-hollowing-technique skill の最大の価値は、手順が整理されていることです。単一アラートから調べ始めるのではなく、候補プロセスの特定、Windows の親子関係ベースラインとの照合、その後にメモリと API レベルの証拠で裏取りする、という流れを示してくれます。その結果、正当なサービス挙動による false positive を減らし、「変だが正常」と「悪意あり」を切り分けやすくなります。

何が違うのか

この skill が特に強いのは、EDR か Sysmon テレメトリがあり、検知志向のワークフローが必要なときです。一般的な一文プロンプトよりも有用なのは、典型的な hollowing の連鎖と、よくあるトレードオフ――つまり、確信度を上げるにはより良いプロセス可視性とメモリ可視性が必要になる――を最初から反映しているからです。ネットワークログしかない場合、この skill からは十分な証拠は得られません。

detecting-process-hollowing-technique skill の使い方

インストールして読み込む

次のコマンドでインストールします。

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique

その後は、まず skills/detecting-process-hollowing-technique/SKILL.md を開いてください。ハントロジックの背景にある運用文脈も知りたい場合は、自分の環境で skill を実行する前に references/standards.md と references/workflows.md も確認しておくとよいでしょう。

適切な入力から始める

この skill は、テレメトリのソース、短い疑義の説明、時間範囲を含めたプロンプトで最もよく機能します。たとえば、「ホスト X の Sysmon Event IDs 1, 8, 10, 25 を使って、14:30 UTC の不審な svchost.exe 起動後に process hollowing の兆候がないか分析して」といった依頼です。これは「マルウェアを確認して」よりもはるかに良く、モデルに具体的なハント対象と検証経路を与えられます。

推奨ワークフロー

1. Sysmon または EDR から候補プロセスを絞り込む。
2. 親子関係を Windows のベースラインと照合する。
3. 停止状態での起動、unmap/write/redirect の流れ、改ざんイベントなど、hollowing の兆候を確認する。
4. 可能であればメモリ証拠で裏取りする。
5. 結果をハントノートまたは検知ルールに落とし込み、報告の型として assets/template.md を使う。

最初に読むファイル

detecting-process-hollowing-technique usage では、次を優先してください。

• ハントロジックと前提条件は SKILL.md
• API の順序と Splunk のサンプルクエリは references/api-reference.md
• Sysmon と MDE の例は references/workflows.md
• 調査結果を明確に記録するには assets/template.md
• イベント解析やトリアージを自動化したい場合は scripts/agent.py と scripts/process.py

detecting-process-hollowing-technique skill FAQ

これは上級アナリスト向けだけですか？

いいえ。detecting-process-hollowing-technique guide は、基本的な Windows のプロセス概念を理解している初心者でも使えます。通常のサービス挙動と疑わしい injection パターンを見分けるだけの文脈は必要ですが、深いリバースエンジニアリングの知識を前提にしていない、実際に使えるハント経路が用意されています。

EDR や Sysmon は必要ですか？

できれば必要です。この skill は、process hollowing が基本的な endpoint ログでは見えにくいことが多いため、Sysmon と EDR テレメトリがあると最も強く機能します。プロセス作成、改ざん、メモリ関連のテレメトリがなければ、妥当な結論というより、弱い疑いにとどまる可能性があります。

普通のプロンプトと何が違いますか？

普通のプロンプトは、process hollowing を一般論として説明するだけかもしれません。この skill はより意思決定向けで、具体的な確認項目、想定される親子関係のベースライン、そして T1055.012 を支持または否定する証拠へと導きます。その結果、トリアージの出力が改善し、曖昧な回答が減りやすくなります。

どんなときに使わないほうがいいですか？

ケースの主眼がブラウザの exploit、macro malware、あるいは process injection の証拠がない一般的な永続化であるなら、detecting-process-hollowing-technique は使わないでください。また、endpoint テレメトリがなく、高レベルのインシデント要約だけが欲しい場合にも適していません。

detecting-process-hollowing-technique skill の改善方法

テレメトリの文脈をもっと具体的にする

品質向上で最も効果が大きいのは、入力データを良くすることです。OS バージョン、ログソース、イベント ID、そして疑わしいプロセス名を 1〜2 個含めてください。たとえば、「Windows 11、Sysmon 13、Event 1 と 25、svchost.exe が cmd.exe によって起動され、その後 14:31 に tampering alert が発生」といった具合です。これにより、モデルが正しい検知経路に軸足を置きやすくなります。

結論と証拠をセットで求める

実用的な出力がほしいなら、結論だけでなく証拠の連鎖も求めてください。よい依頼例は、「process hollowing の可能性を評価し、支持する指標を列挙し、まだ不足している証拠も示して」といったものです。こうすると、確定した事実と推測が分けられます。

よくある失敗パターンに注意する

最も多いミスは、親子関係の不一致だけで hollowing と断定してしまうことです。もう一つは、停止状態のプロセスをすべて悪意ありとみなすことです。結果を改善するには、想定される親子関係のベースライン、既知の正常な管理者操作、そしてメモリ証拠があるのかイベントログしかないのかを明示してください。

最初の結果を踏まえて再実行する

最初の回答で足りない点を見つけ、そのギャップを埋めたうえで skill を再実行してください。出力が暫定的なら、プロセスハッシュ、コマンドライン、ロード済みモジュール、CreateProcess、WriteProcessMemory、ResumeThread の間隔を追加します。そうすることで、一般的な detecting-process-hollowing-technique skill の回答を、より根拠の強い検知メモやハントノートに変えられます。