Oggi imparerai come installare Velociraptor su Linux.
Imparando da questi primi progetti, Velociraptor è stato rilasciato nel 2019. Simile a GRR, Velociraptor consente anche di cacciare su molte migliaia di macchine. Ispirato da OSQuery, Velociraptor implementa un nuovo linguaggio di query denominato VQL (Velociraptor Query Language) che è simile a SQL ma estende il linguaggio di query in modo più potente. Velociraptor enfatizza anche la facilità di installazione e la latenza molto bassa, in genere raccogliendo artefatti da migliaia di endpoint in pochi secondi.
Sopra mostra una panoramica dell'architettura Velociraptor. Il server Velociraptor mantiene le comunicazioni con gli agenti endpoint (chiamati client) per il comando e il controllo. L'interfaccia utente di amministrazione basata sul Web viene utilizzata per assegnare compiti ai singoli client, eseguire ricerche e raccogliere dati.
In definitiva, gli agenti Velociraptor sono semplicemente motori VQL:tutte le attività dell'agente sono semplicemente query VQL eseguite dal motore. Le query VQL, proprio come le query del database, generano una tabella, con colonne (come dettato dalla query) e più righe. L'agente eseguirà la query e invierà i risultati al server che li memorizza semplicemente come file. Questo approccio significa che il server non sta effettivamente elaborando i risultati se non semplicemente archiviandoli in file. Pertanto il carico sul server è minimo consentendo prestazioni ampiamente scalabili.
Installazione
Velociraptor ha sei componenti principali:
- Fronte – Il frontend riceve le connessioni dai client.
- Gu – UI Web per l'accesso al velociraptor.
- Cliente – Agenti endpoint Velociraptor
- Motore VQL (VFilter) – Linguaggio di query Velociraptor utilizzato per eseguire query.
- Archivio dati – posizioni in cui Velociraptor salverà i suoi file.
- Archivio di file – utilizzato dal velociraptor per la conservazione a lungo termine
Installa Velociraptor di Gettig il binario Linux
mkdir velociraptor
cd velociraptor
wget https://github.com/Velocidex/velociraptor/releases/download/v0.5.3/velociraptor-v0.5.3-linux-amd64Rendi eseguibile il binario
Quindi, una volta completato il download del programma di installazione binario, rendilo eseguibile eseguendo il comando seguente;
chmod +x velociraptor-v0.5.3-linux-amd64 Genera un file di configurazione del server
Generate server configuration file using the command below:
./velociraptor-v0.5.3-linux-amd64 config generate > /etc/velociraptor.config.yaml
To customize the configuration file generation use the command:
./velociraptor-v0.5.3-linux-amd64 config generate config generate -iFacoltativamente, modifica il file di configurazione una volta creato per adattarlo alla tua distribuzione. Ad esempio, puoi modificare l'URL del server e l'IP del server a cui sono vincolati gli indirizzi
vim /etc/velociraptor.config.yaml...
Client:
server_urls:
- https://192.168.56.102:8000/
...
API:
bind_address: 192.168.56.102
...
GUI:
bind_address: 192.168.56.102
...
Monitoring:
bind_address: 192.168.56.102
...Inoltre, la posizione del Datastore può essere modificata per cambiare la posizione in cui Velociraptor salverà i suoi file.
Datastore:
implementation: FileBaseDataStore
location: /var/tmp/velociraptor
filestore_directory: /var/tmp/velociraptorÈ importante notare che le comunicazioni client-server sono crittografate su HTTPS. Le chiavi sono incorporate nel file di configurazione.
Crea utente GUI
Quindi, crea un utente per accedere alla GUI eseguendo il comando seguente;
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml user add unixcop --role administratorinserire una password per l'utente quando richiesto:
Il comando precedente aggiunge l'utente admin con l'administrator ruolo. Altri ruoli disponibili sono:
- lettore
- analista
- investigatore
- autore_artifact
Avvia Velociraptor Frontend
Avvia il server Velociraptor usando frontend comando, -v flag viene utilizzato per mostrare un output dettagliato sul terminale.
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml frontend -vAccesso all'interfaccia Web di Velociraptor
Accedi al server su https://SERVER-IP:8889 . Utilizzare l'utente e la password creati in precedenza. Le comunicazioni dell'interfaccia grafica sono autenticate con l'autenticazione di base.
Installa il servizio Systemd per Verociraptor
Inoltre puoi creare un servizio systemd per avviare Velociraptor come servizio. Per una gestione più semplice puoi copiare il file binario in /usr/local/bin come velociraptor .
cp velociraptor-v0.5.3-linux-amd64 /usr/local/bin/velociraptor
vim /lib/systemd/system/velociraptor.service
Aggiungi il contenuto di seguito:
[Unit]
Description=Velociraptor linux amd64
After=syslog.target network.target
[Service]
Type=simple
Restart=always
RestartSec=120
LimitNOFILE=20000
Environment=LANG=en_US.UTF-8
ExecStart=/usr/local/bin/velociraptor --config /etc/velociraptor.config.yaml frontend -v
[Install]
WantedBy=multi-user.target
systemctl daemon-reloadAvvia e abilita l'avvio del velociraptor all'avvio:
systemctl enable --now velociraptor
Controlla lo stato del velociraptor.
systemctl status velociraptor
● velociraptor.service - Velociraptor linux amd64
Loaded: loaded (/lib/systemd/system/velociraptor.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2020-12-09 21:10:37 EAT; 6s ago
Main PID: 21354 (velociraptor)
Tasks: 7 (limit: 595)
CGroup: /system.slice/velociraptor.service
└─21354 /usr/local/velociraptor --config /etc/velociraptor.config.yaml frontend -v
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting Server Artifact Runner Service
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting gRPC API server on 192.168.56.102:8001
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Launched Prometheus monitoring server on 192.168.56
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 GUI is ready to handle TLS requests on https://192.
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Collecting Server Event Artifact: Server.Monitor.He
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Frontend is ready to handle client TLS requests at
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Compiled all artifactsAccedi alla GUI e accedi all'interfaccia, vedrai il dashboard della GUI di Velociraptor.
