Modern EDR platformları imza tabanlı tespitin ötesine geçip davranışsal analiz ile endpoint güvenliğini yükseltiyor. Ancak dijital imzalı, güvenilir processlerin kötüye kullanımı — özellikle VMware Tools'un vmtoolsd bileşeni — pek çok EDR için hâlâ kör nokta. Bu yazıda vmtoolsd üzerinden yapılan Guest Operations kötüye kullanımını, SentinelOne DeepVisibility ile nasıl telemetri bıraktığını ve yazdığım özel tespit kuralını inceliyoruz.
Edr çözümleri, davranışsal analiz odaklı olması sebebiyle yakın dönemde endpoint cihazlarının güvenliğinde antivirüs çözümlerinden daha fazla öne çıkmaktadır.
Modern Edr platformları bilinen zararlı yazılımları signature tabanlı yöntemlerle tespit etmekle kalmaz aynı zamanda oluşan processleri, sistemde meydana gelen davranışları, dosya sistemi aktivitelerini ve kullanıcı davranışlarını bir bütün olarak toplayarak analiz eder. Edr'lar bu çok faktörlü davranışsal algılama yetenekleri ile siber saldırılarda tehdit aktörlerine karşı önlem alırlar.
Edr çözümlerinin Signature tabanlı yöntemleri günümüzde güvenilir processlerin kötüye kullanımları ile atlatılabilmektedir. Özellikle dijital imzaya sahip ve bilinen processler siber saldıranlar tarafından cazip görülmektedir. Bu senaryo genellikle Windows dosyalarının kötüye kullanımlarında görülmekle birlikte VMware Tools gibi kurumsal ortamlarda sıklıkla kullanılan yazılımlarda da görünmektedir.
Bu makalemde vmtoolsd Processinin kötüye kullanım seneryosunu ve bu senaryonun SentinelOne Edr çözümünde hangi logları bıraktığını incelemeye çalışacağım.
VMware Tools Case

vmtoolsd, Guest Operations içerisinde çalışan ve VMware Tools'un temel bileşeni olan imzalı ve güvenilir bir processtir. Guest Os tarafından başlatılan işlemler, network üzerinden gelen bir uzaktan erişim yerine hipervizör ve VMware Tools arasında kalan vmtoolsd üzerinden geçer. Bu işlemlerde PsExec, RDP vb. protokoller kullanılmaz. Vmtoolsd üzerinden başlatılan işlemler, bu başlıca protokollerin kullanılmaması ve işlemlerin endpoint telemetrileri ile sınırlı kalması sebebiyle EDR'ların kör noktası olmuştur.
EDR Platformları Bu Aktiviteleri Neden Kaçırır
EDR, İmzalı ve güvenilir süreçler otomatik olarak düşük riskli olarak kabul edebilmektedir.
EDR, VM içerisindeki aktiviteleri başka endpoint cihazlar üzerindeki etkileri ile korele edemez.
EDR, VM içerisindeki aktivitelerde SMB, WinRM, RDP, PsExec vb. Protokoller kullanılmadığı için geleneksel saldırı topolojileri ile eşleştiremez.
Modern Edr Platformları Tespit Yaklaşımı Nasıl Olmalı
EDR, imzalı processlere düşük risk gözüyle bakmamalı ve davranışsal analizler yapmalıdır.
Parent- child processler arasındaki ilişkiler daha detaylı analiz edilmeli olağan dışı faaliyetlere şüpheci yaklaşmalıdır.
Sadece çalışan processler kontrol edilmemeli her bir process altında çalıştırılan komutlar detaylı analiz edilmelidir.
SentinelOne Platformu Perspektifinden Trusted Process Abuse Tepsiti

Makalemin devamında yapılan kontrollü test kapsamında Guest OS kullanılarak vmtoolsd.exe parent proccesi ile gerçekleştirilen aktivitenin SentinelOne Platformu üzerindeki tespit ettiğim telemetrileri verilerini ve tespit kuralını paylaşmak isterim.
Test senaryosu kapsamında vmtoolsd.exe Processi sonrasında beklenmeyen processler oluşturulmuş(powershell), olağan dışı komutlar çalıştırılmış, child Process ile dosya silme işlemleri gerçekleştirilmiştir.
İlgili aktiviteleri tespit etmek amacıyla SentinelOne Deepvisibilty kısmında src.process.parent.name = 'vmtoolsd.exe' AND src.process.cmdline contains ('powershell', 'cmd', 'cscript') sorgusu çalıştırılmıştır.

Bu sorgu ile parent processi vmtoolsd.exe olan ve komut satırında PowerShell, CMD veya Windows Script Host (cscript) kullanan süreçleri filtrelemek amaçlanmıştır. VMware Tools'un normal işlevleri içerisinde bu aktiviteler olağan değildir.
Yukarıda yer alan sorgunun çıktıları üzerinde de görüldüğü gibi imzalı ve güvenilir olarak kabul edilen bir Parent Process, devamında olağan dışı child process ve bu child processlerde çalıştırılan komutlar SentinelOne platformunda loglanmıştır. Ancak bu aktiviteler bir anomali olarak görülmemiş ve alarm olarak tetiklenmemiştir.
SentinelOne üzerinde bu case için oluşturduğum kuralı paylaşmak isterim:
Bu kural Vmtoolsd.exe parent processi ile başlatılan ve child processlerinde powershell, cmd ve cscript vb. processlerini içeren aktiviteleri tespit ederek alarm üretmek için oluşturulmuştur. Bu kural SentinelOne'ın vmtoolsd.exe proccessinin normal kullanıcı davranışı dışında gerçekleştiğinde, özellikle gizli komut çalıştırma senaryolarında alarm tetikletecek olup erken aşamalarda görünürlük sağlayacaktır.
Sentinelone platformu üzerinde kural girme aşamasında son 1 haftalık olarak simülasyon özelliği sunulmaktadır.
SentinelOne platformunun sağladığı Rule Simulation özelliğinden faydalanılarak geliştirdiğim tespit kuralı, son bir haftaya ait telemetri verileri üzerinde doğrulama sürecinden geçirilmiştir. Bu sayede kuralın üretim ortamına alınmadan önce geçmiş aktiviteler üzerindeki etkinliği analiz edilmiş, olası alarm çıktıları değerlendirilmiş ve False Positive oranının optimize edilmesine yönelik ön doğrulama gerçekleştirilmiştir.
Gerçekleştirilen simülasyon sonucunda kuralın son bir haftalık aktiviteler üzerinde 8 alarm ürettiği tespit edilmiştir. Elde edilen bu sonuçlar, kuralın hedeflenen davranışları başarıyla tespit edebildiğini göstermekte olup, ilgili simülasyona ait ekran görüntüsü aşağıda sunulmuştur.

VMware Tools Case'inin Önerileri
vCenter ve ESXi yönetim erişimleri çok faktörlü kimlik doğrulama (MFA) ile korunmalıdır ve mümkün olduğunca out-of-band management üzerinden sağlanmalı ve yönetici hesapları Privileged Access Management (PAM) çözümleri ile izlenerek oturum kayıtları tutulmalıdır.
Guest Operations ayrıcalığı yalnızca gerçekten ihtiyaç duyan kullanıcı ve servis hesaplarına tanımlanmalı, bu yetkinin kullanımı düzenli olarak denetlenmeli ve olağan dışı kullanımlar için uyarı mekanizmaları oluşturulmalıdır.
Guest OS'da PowerShell Constrained Language Mode, AppLocker veya Windows Defender Application Control (WDAC) gibi uygulama kontrol mekanizmaları etkinleştirilerek PowerShell vb. uygulamaların kontrolsüz çalıştırılması sınırlandırılmalıdır.
PowerShell aktivitelerinin görünürlüğü artırılmalıdır.
EDR tarafında ise vmtoolsd.exe altında başlatılan processlere ilişkin mevcut exclusionlar tekrar kontrol edilmelidir.
EDR tarafında özellikle bu testte ele alınan parent-child processlerine yönelik davranışsal tespit kuralları tanımlanmalı ve düzenli threat hunting faaliyetleri ile kontroller sağlanmalıdır.
Melike TÜNCAZ
L1/L2 MDR Analyst
Bu yazı, gerçek bir SentinelOne ortamında yürütülen kontrollü test ve Rule Simulation sonuçlarına dayanmaktadır.