Threat hunting com Velociraptor

O Velociraptor é uma ferramenta avançada digital forense e de resposta a incidentes que aprimora sua visibilidade em seus endpoints. é uma ferramenta que permite coletar informações de hosts usando consultas Velocidex Query Language (VQL).

Velociraptor é um projeto de software livre e de código aberto desenvolvido para:

  • Coletar
  • Monitorar
  • Caçar

Ele usa apenas um executável tanto para cliente como para servidor

O sistema conta com mais de 300 artefatos de hunting.

Download e instalação

Crie um diretório para organizar os arquivos como por exemplo:

C:\tools\Velociraptor

Baixe a ultima versão https://github.com/Velocidex/velociraptor/releases (eu escolhi a versão .exe)

Gere os arquivos de configuração executando o comando:

velociraptor-windows-amd64.exe config generate -i

* Importante, após criar o arquivos client.config.yaml e server.config.yaml verifique se os dados estão corretos, do contrário edite e adicione informações como server_url e os caminhos de acesso como writeback_windows, install_path.

Crie um conta de administração:

velociraptor-windows-amd64.exe --config server.config.yaml user add admin --role administrator
* Eu criei um user admin e uma senha padrão e depois o sistema manterá essa conta criada

Execute o servidor

velociraptor-windows-amd64.exe --config server.config.yaml frontend -v
o parâmetro -v é para verbose (detalhes)

Adicione clientes executando em cada estação o comando.

velociraptor-windows-amd64.exe

Acesse a interface gráfica via web: https://127.0.0.1:8889

Overview da solução

  • Home – Pagina principal onde você pode visualizar status do servidor
  • Hunt Manager – Gerenciamento de hunting – Aqui você define os artefatos e quando executar a busca.
  • View Artifacts – Permite visualizar e editar artefatos
  • Server Events – Eventos do servidor
  • Server Artifacts – Artefatos do servidor
  • Notebooks – Notebooks colaborativos ou
  •  Host Information – Informações dos hosts
  •  Virtual Filesystem – Visualização da estrutura dos hosts/clientes
  • Collected Artifacts – Artefatos coletados
  • Client Events – Eventos do cliente

Recursos

Verificando executáveis no Windows https://docs.velociraptor.app/blog/2021/2021-06-09-verifying-executables-on-windows-1b3518122d3c/

Artifact Exchange – Publicações de artefatos que podem ser adicionados ao software. https://docs.velociraptor.app/exchange/

DEMO

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*