راهکار Velociraptor به عنوان یک ابزار شکار تهدید، فارنزیک و پاسخ به حادثه محسوب میشود که اشراف شما را بر روی Endpointهای موجود در شبکه افزایش میدهد. Velociraptor، ترکیبی از دو ابزار GRR و OSQuery بوده و هر سه نوع پلتفرم Windows، Linux و macOS را پشتیبانی میکند.
جالب است بدانید که این پروژهی متن باز چند ماه پیش، توسط Rapid7 خریداری شد.
این ابزار به کمک موتور VQL (Velociraptor Query Language) این امکان را به کاربر میدهد که عملیات جمع آوری و تحلیل شواهد بصورت یکپارچه در کل شبکه، با سرعتی بالا و با کمترین تاثیر منفی بر روی Endpoint انجام شود.
به کمک این ابزار، کارشناسان پاسخ به حادثه میتوانند به سرعت شواهد را از روی میزبانهای مختلف جمعآوری کرده و همچنین تحلیلهای فارنزیکی خود را بر روی سیستمهای موجود در شبکه انجام دهند. همچنین کارشناسان شکار تهدید نیز میتوانند به کمک قابلیتهای مختلف این ابزار همچون زدن کوئری VQL، دسترسی شل (Powershell، CMD و Bash) و استفاده از Artifactهای موجود در ابزار، نسبت به بررسی موارد مشکوک در سیستمها اقدام کنند تا از حوادث آتی جلوگیری گردد. همچنین این قابلیت وجود دارد که کاربر بتواند Artifact خود را به زبان VQL نوشته و به سیستم تزریق کند.
به عنوان مثال زمانیکه یک IOC جدید برای یک تهدید منتشر میشود و یا یک رفتار مخرب در تعدادی از سیستمهای شما کشف میشود، میتوان آنرا به زبان VQL نوشت، داخل سیستم آپلود کرد و کل سیستمهای ویندوزی و لینوکسی موجود در شبکه را نسبت به آن، مورد بررسی قرار داد.
به عنوان جمع بندی، تعدادی از ویژگیهای این ابزار در ادامه آورده شده است:
منبع باز، دارای یک Community و پشتیبانی توسط شرکت معروف Rapid7
ساخته شده بر اساس تجارب واقعی کارشناسان پاسخ به حادثه و فارنزیک و به منظور پر کردن خلاهای ابزاری موجود در این حوزه
دقت در طراحی به منظور کاهش تاثیر منفی بر روی Performance سیستمهای مورد بررسی
دارای ساختار کلاینت/سروری برای بررسی کل شبکه به عنوان ابزار شکار تهدید و پاسخ به آن
امکان جمع آوری شواهد حادثه از روی تمام سیستمها به سادگی و با سرعت مناسب
امکان ارسال خودکار نتایج به Splunk و Elastic
امکان مدیریت سرور با API
استفاده از VQL (Velociraptor Query Language) به عنوان یک زبان قدرتمند و منعطف برای تامین نیازمندیهای کاربران بدون نیاز به تغییر کد برنامه و یا ابزارهای بیرونی
شامل تعداد زیادی از تجارب حوزه دیجیتال فارنزیک در قالب فایلهایی با نام Artifact به زبان VQL
امکان نوشتن Artifact دلخواه
امکان بررسی نام و محتوای یک فایل از راه دور
امکان استفاده از قوانین YARA
امکان دسترسی شل (Powershell، CMD و Bash) به سیستمها از راه دور
امکان استفاده از توابع diff() به منظور پایش تغییرات مشکوک در موارد خاص
امکان اجرای برنامههای دیگر همچون Autoruns
و …