معرفی راهکار Velociraptor

راهکار Velociraptor به عنوان یک ابزار شکار تهدید، فارنزیک و پاسخ به حادثه محسوب میشود که اشراف شما را بر روی Endpointهای موجود در شبکه افزایش میدهد.

راهکار Velociraptor به عنوان یک ابزار شکار تهدید، فارنزیک و پاسخ به حادثه محسوب میشود که اشراف شما را بر روی Endpointهای موجود در شبکه افزایش میدهد. Velociraptor، ترکیبی از دو ابزار GRR و OSQuery بوده و هر سه نوع پلتفرم Windows، Linux و macOS را پشتیبانی میکند.

جالب است بدانید که این پروژه­‌ی متن باز چند ماه پیش، توسط Rapid7 خریداری شد.

این ابزار به کمک موتور VQL (Velociraptor Query Language) این امکان را به کاربر میدهد که عملیات جمع آوری و تحلیل شواهد بصورت یکپارچه در کل شبکه، با سرعتی بالا و با کمترین تاثیر منفی بر روی Endpoint انجام شود.

به کمک این ابزار، کارشناسان پاسخ به حادثه میتوانند به سرعت شواهد را از روی میزبان‌های مختلف جمع­‌آوری کرده و همچنین تحلیل‌­های فارنزیکی خود را بر روی سیستم­‌های موجود در شبکه انجام دهند. همچنین کارشناسان شکار تهدید نیز میتوانند به کمک قابلیت­‌های مختلف این ابزار همچون زدن کوئری VQL، دسترسی شل (Powershell، CMD و Bash) و استفاده از Artifactهای موجود در ابزار، نسبت به بررسی موارد مشکوک در سیستم­‌ها اقدام کنند تا از حوادث آتی جلوگیری گردد. همچنین این قابلیت وجود دارد که کاربر بتواند Artifact خود را به زبان VQL نوشته و به سیستم تزریق کند.

به عنوان مثال زمانیکه یک IOC جدید برای یک تهدید منتشر می­شود و یا یک رفتار مخرب در تعدادی از سیستم‌­های شما کشف میشود، میتوان آنرا به زبان VQL نوشت، داخل سیستم آپلود کرد و کل سیستم‌­های ویندوزی و لینوکسی موجود در شبکه را نسبت به آن، مورد بررسی قرار داد.

به عنوان جمع بندی، تعدادی از ویژگی‌­های این ابزار در ادامه آورده شده است:

  • منبع باز، دارای یک Community و پشتیبانی توسط شرکت معروف Rapid7  
  • ساخته شده بر اساس تجارب واقعی کارشناسان پاسخ به حادثه و فارنزیک و به منظور پر کردن خلا­های ابزاری موجود در این حوزه
  • دقت در طراحی به منظور کاهش تاثیر منفی بر روی Performance سیستم‌­های مورد بررسی
  • دارای ساختار کلاینت/سروری برای بررسی کل شبکه به عنوان ابزار شکار تهدید و پاسخ به آن
  • امکان جمع آوری شواهد حادثه از روی تمام سیستم‌­ها به سادگی و با سرعت مناسب
  • امکان ارسال خودکار نتایج به Splunk و Elastic
  • امکان مدیریت سرور با API
  • استفاده از VQL (Velociraptor Query Language) به عنوان یک زبان قدرتمند و منعطف برای تامین نیازمندی­‌های کاربران بدون نیاز به تغییر کد برنامه و یا ابزارهای بیرونی
  • شامل تعداد زیادی از تجارب حوزه دیجیتال فارنزیک در قالب فایل­‌هایی با نام Artifact به زبان VQL
  • امکان نوشتن Artifact دلخواه
  • امکان بررسی نام و محتوای یک فایل از راه دور
  • امکان استفاده از قوانین YARA
  • امکان دسترسی شل (Powershell، CMD و Bash) به سیستم­ها از راه دور
  • امکان استفاده از توابع diff() به منظور پایش تغییرات مشکوک در موارد خاص
  • امکان اجرای برنامه­‌های دیگر همچون Autoruns
  • و …