O Velociraptor é uma ferramenta avançada digital forense e de resposta a incidentes que aprimora sua visibilidade em seus endpoints. é uma ferramenta que permite coletar informações de hosts usando consultas Velocidex Query Language (VQL).
Velociraptor é um projeto de software livre e de código aberto desenvolvido para:
- Coletar
- Monitorar
- Caçar
Ele usa apenas um executável tanto para cliente como para servidor
O sistema conta com mais de 300 artefatos de hunting.
Download e instalação
Crie um diretório para organizar os arquivos como por exemplo:
C:\tools\Velociraptor
Baixe a ultima versão https://github.com/Velocidex/velociraptor/releases (eu escolhi a versão .exe)
Gere os arquivos de configuração executando o comando:
velociraptor-windows-amd64.exe config generate -i
* Importante, após criar o arquivos client.config.yaml e server.config.yaml verifique se os dados estão corretos, do contrário edite e adicione informações como server_url e os caminhos de acesso como writeback_windows, install_path.
Crie um conta de administração:
velociraptor-windows-amd64.exe --config server.config.yaml user add admin --role administrator
* Eu criei um user admin e uma senha padrão e depois o sistema manterá essa conta criada
Execute o servidor
velociraptor-windows-amd64.exe --config server.config.yaml frontend -v
o parâmetro -v é para verbose (detalhes)
Adicione clientes executando em cada estação o comando.
velociraptor-windows-amd64.exe
Acesse a interface gráfica via web: https://127.0.0.1:8889
Overview da solução
- Home – Pagina principal onde você pode visualizar status do servidor
- Hunt Manager – Gerenciamento de hunting – Aqui você define os artefatos e quando executar a busca.
- View Artifacts – Permite visualizar e editar artefatos
- Server Events – Eventos do servidor
- Server Artifacts – Artefatos do servidor
- Notebooks – Notebooks colaborativos ou
- Host Information – Informações dos hosts
- Virtual Filesystem – Visualização da estrutura dos hosts/clientes
- Collected Artifacts – Artefatos coletados
- Client Events – Eventos do cliente
Recursos
Verificando executáveis no Windows https://docs.velociraptor.app/blog/2021/2021-06-09-verifying-executables-on-windows-1b3518122d3c/
Artifact Exchange – Publicações de artefatos que podem ser adicionados ao software. https://docs.velociraptor.app/exchange/
Seja o primeiro a comentar