InfinitumIT
Analiz Raporu

Sentinelone — Trusted Process Abuse: EDR'ların Kör Noktası — VMware Tools (vmtoolsd)

İmzalı ve güvenilir processler EDR'ların davranışsal tespitini nasıl atlatabiliyor? VMware Tools'un vmtoolsd bileşeni üzerinden Guest Operations kötüye kullanımının SentinelOne DeepVisibility ile analizi ve özel tespit kuralı.

03.07.2026 · 6 dk okuma · InfinitumIT
Sentinelone — Trusted Process Abuse: EDR'ların Kör Noktası — VMware Tools (vmtoolsd)

Modern EDR platformları imza tabanlı tespitin ötesine geçip davranışsal analiz ile endpoint güvenliğini yükseltiyor. Ancak dijital imzalı, güvenilir processlerin kötüye kullanımı — özellikle VMware Tools'un vmtoolsd bileşeni — pek çok EDR için hâlâ kör nokta. Bu yazıda vmtoolsd üzerinden yapılan Guest Operations kötüye kullanımını, SentinelOne DeepVisibility ile nasıl telemetri bıraktığını ve yazdığım özel tespit kuralını inceliyoruz.

Edr çözümleri, davranışsal analiz odaklı olması sebebiyle yakın dönemde endpoint cihazlarının güvenliğinde antivirüs çözümlerinden daha fazla öne çıkmaktadır.

Modern Edr platformları bilinen zararlı yazılımları signature tabanlı yöntemlerle tespit etmekle kalmaz aynı zamanda oluşan processleri, sistemde meydana gelen davranışları, dosya sistemi aktivitelerini ve kullanıcı davranışlarını bir bütün olarak toplayarak analiz eder. Edr'lar bu çok faktörlü davranışsal algılama yetenekleri ile siber saldırılarda tehdit aktörlerine karşı önlem alırlar.

Edr çözümlerinin Signature tabanlı yöntemleri günümüzde güvenilir processlerin kötüye kullanımları ile atlatılabilmektedir. Özellikle dijital imzaya sahip ve bilinen processler siber saldıranlar tarafından cazip görülmektedir. Bu senaryo genellikle Windows dosyalarının kötüye kullanımlarında görülmekle birlikte VMware Tools gibi kurumsal ortamlarda sıklıkla kullanılan yazılımlarda da görünmektedir.

Bu makalemde vmtoolsd Processinin kötüye kullanım seneryosunu ve bu senaryonun SentinelOne Edr çözümünde hangi logları bıraktığını incelemeye çalışacağım.

VMware Tools Case

VMware Tools vmtoolsd — figure 1

vmtoolsd, Guest Operations içerisinde çalışan ve VMware Tools'un temel bileşeni olan imzalı ve güvenilir bir processtir. Guest Os tarafından başlatılan işlemler, network üzerinden gelen bir uzaktan erişim yerine hipervizör ve VMware Tools arasında kalan vmtoolsd üzerinden geçer. Bu işlemlerde PsExec, RDP vb. protokoller kullanılmaz. Vmtoolsd üzerinden başlatılan işlemler, bu başlıca protokollerin kullanılmaması ve işlemlerin endpoint telemetrileri ile sınırlı kalması sebebiyle EDR'ların kör noktası olmuştur.

EDR Platformları Bu Aktiviteleri Neden Kaçırır

EDR, İmzalı ve güvenilir süreçler otomatik olarak düşük riskli olarak kabul edebilmektedir.

EDR, VM içerisindeki aktiviteleri başka endpoint cihazlar üzerindeki etkileri ile korele edemez.

EDR, VM içerisindeki aktivitelerde SMB, WinRM, RDP, PsExec vb. Protokoller kullanılmadığı için geleneksel saldırı topolojileri ile eşleştiremez.

Modern Edr Platformları Tespit Yaklaşımı Nasıl Olmalı

EDR, imzalı processlere düşük risk gözüyle bakmamalı ve davranışsal analizler yapmalıdır.

Parent- child processler arasındaki ilişkiler daha detaylı analiz edilmeli olağan dışı faaliyetlere şüpheci yaklaşmalıdır.

Sadece çalışan processler kontrol edilmemeli her bir process altında çalıştırılan komutlar detaylı analiz edilmelidir.

SentinelOne Platformu Perspektifinden Trusted Process Abuse Tepsiti

VMware Tools vmtoolsd — figure 2

Makalemin devamında yapılan kontrollü test kapsamında Guest OS kullanılarak vmtoolsd.exe parent proccesi ile gerçekleştirilen aktivitenin SentinelOne Platformu üzerindeki tespit ettiğim telemetrileri verilerini ve tespit kuralını paylaşmak isterim.

Test senaryosu kapsamında vmtoolsd.exe Processi sonrasında beklenmeyen processler oluşturulmuş(powershell), olağan dışı komutlar çalıştırılmış, child Process ile dosya silme işlemleri gerçekleştirilmiştir.

İlgili aktiviteleri tespit etmek amacıyla SentinelOne Deepvisibilty kısmında src.process.parent.name = 'vmtoolsd.exe' AND src.process.cmdline contains ('powershell', 'cmd', 'cscript') sorgusu çalıştırılmıştır.

VMware Tools vmtoolsd — figure 3

Bu sorgu ile parent processi vmtoolsd.exe olan ve komut satırında PowerShell, CMD veya Windows Script Host (cscript) kullanan süreçleri filtrelemek amaçlanmıştır. VMware Tools'un normal işlevleri içerisinde bu aktiviteler olağan değildir.

Yukarıda yer alan sorgunun çıktıları üzerinde de görüldüğü gibi imzalı ve güvenilir olarak kabul edilen bir Parent Process, devamında olağan dışı child process ve bu child processlerde çalıştırılan komutlar SentinelOne platformunda loglanmıştır. Ancak bu aktiviteler bir anomali olarak görülmemiş ve alarm olarak tetiklenmemiştir.

SentinelOne üzerinde bu case için oluşturduğum kuralı paylaşmak isterim:

src.process.parent.name = "vmtoolsd.exe" AND (
src.process.name = "powershell.exe" OR
src.process.name = "cmd.exe" OR
src.process.name = "cscript.exe" OR
src.process.name = "wscript.exe" OR
src.process.name = "pwsh.exe"
)

Bu kural Vmtoolsd.exe parent processi ile başlatılan ve child processlerinde powershell, cmd ve cscript vb. processlerini içeren aktiviteleri tespit ederek alarm üretmek için oluşturulmuştur. Bu kural SentinelOne'ın vmtoolsd.exe proccessinin normal kullanıcı davranışı dışında gerçekleştiğinde, özellikle gizli komut çalıştırma senaryolarında alarm tetikletecek olup erken aşamalarda görünürlük sağlayacaktır.

Sentinelone platformu üzerinde kural girme aşamasında son 1 haftalık olarak simülasyon özelliği sunulmaktadır.

SentinelOne platformunun sağladığı Rule Simulation özelliğinden faydalanılarak geliştirdiğim tespit kuralı, son bir haftaya ait telemetri verileri üzerinde doğrulama sürecinden geçirilmiştir. Bu sayede kuralın üretim ortamına alınmadan önce geçmiş aktiviteler üzerindeki etkinliği analiz edilmiş, olası alarm çıktıları değerlendirilmiş ve False Positive oranının optimize edilmesine yönelik ön doğrulama gerçekleştirilmiştir.

Gerçekleştirilen simülasyon sonucunda kuralın son bir haftalık aktiviteler üzerinde 8 alarm ürettiği tespit edilmiştir. Elde edilen bu sonuçlar, kuralın hedeflenen davranışları başarıyla tespit edebildiğini göstermekte olup, ilgili simülasyona ait ekran görüntüsü aşağıda sunulmuştur.

VMware Tools vmtoolsd — figure 4

VMware Tools Case'inin Önerileri

vCenter ve ESXi yönetim erişimleri çok faktörlü kimlik doğrulama (MFA) ile korunmalıdır ve mümkün olduğunca out-of-band management üzerinden sağlanmalı ve yönetici hesapları Privileged Access Management (PAM) çözümleri ile izlenerek oturum kayıtları tutulmalıdır.

Guest Operations ayrıcalığı yalnızca gerçekten ihtiyaç duyan kullanıcı ve servis hesaplarına tanımlanmalı, bu yetkinin kullanımı düzenli olarak denetlenmeli ve olağan dışı kullanımlar için uyarı mekanizmaları oluşturulmalıdır.

Guest OS'da PowerShell Constrained Language Mode, AppLocker veya Windows Defender Application Control (WDAC) gibi uygulama kontrol mekanizmaları etkinleştirilerek PowerShell vb. uygulamaların kontrolsüz çalıştırılması sınırlandırılmalıdır.

PowerShell aktivitelerinin görünürlüğü artırılmalıdır.

EDR tarafında ise vmtoolsd.exe altında başlatılan processlere ilişkin mevcut exclusionlar tekrar kontrol edilmelidir.

EDR tarafında özellikle bu testte ele alınan parent-child processlerine yönelik davranışsal tespit kuralları tanımlanmalı ve düzenli threat hunting faaliyetleri ile kontroller sağlanmalıdır.

Melike TÜNCAZ

L1/L2 MDR Analyst

Bu yazı, gerçek bir SentinelOne ortamında yürütülen kontrollü test ve Rule Simulation sonuçlarına dayanmaktadır.

Bu içeriği faydalı buldunuz mu?

Tehdit bültenlerimiz ve MDR Insights raporları ilk siz alın.

Ekip sertifikalarımız

SANS, Offensive Security, EC-Council, CompTIA, ISACA, CREST ve INE tarafından akredite uzmanlarımız.

SANS GPEN
SANS GWAPT
SANS GICSP
SANS GRTP
SANS GCIH
SANS GSEC
Offensive Security OSCP
Offensive Security OSWP
EC-Council CEH
CompTIA Security+
ISACA CISM
ISACA CISA
CREST CRT
INE eWPTX
Fortinet FCP Secure Networking
Fortinet FCP Cloud Security
Fortinet FCP Security Operations
Fortinet FCSS Secure Networking
Fortinet FCSS SASE
Fortinet FCSS Cloud Security
Fortinet FCSS Security Operations
IBM QRadar Admin
SANS GPEN
SANS GWAPT
SANS GICSP
SANS GRTP
SANS GCIH
SANS GSEC
Offensive Security OSCP
Offensive Security OSWP
EC-Council CEH
CompTIA Security+
ISACA CISM
ISACA CISA
CREST CRT
INE eWPTX
Fortinet FCP Secure Networking
Fortinet FCP Cloud Security
Fortinet FCP Security Operations
Fortinet FCSS Secure Networking
Fortinet FCSS SASE
Fortinet FCSS Cloud Security
Fortinet FCSS Security Operations
IBM QRadar Admin

Çerez kullanımı

Sitemizde sadece zorunlu oturum ve dil tercihi çerezleri kullanıyoruz; üçüncü taraf izleme çerezi yoktur. Detay için Çerez Politikası ve KVKK Aydınlatma Metni'ni inceleyin.