Hari ini Anda akan belajar cara menginstal Velociraptor di Linux.
Belajar dari proyek awal ini, Velociraptor dirilis pada 2019. Mirip dengan GRR, Velociraptor juga memungkinkan untuk berburu di ribuan mesin. Terinspirasi oleh OSQuery, Velociraptor mengimplementasikan bahasa kueri baru yang dijuluki VQL (Velociraptor Query Language) yang mirip dengan SQL tetapi memperluas bahasa kueri dengan cara yang lebih kuat. Velociraptor juga menekankan kemudahan pemasangan dan latensi yang sangat rendah — biasanya mengumpulkan artefak dari ribuan titik akhir dalam hitungan detik.
Di atas menunjukkan ikhtisar arsitektur Velociraptor. Server Velociraptor memelihara komunikasi dengan agen titik akhir (disebut Klien) untuk perintah dan kontrol. Antarmuka pengguna administrasi berbasis web digunakan untuk menugaskan klien individu, menjalankan perburuan, dan mengumpulkan data.
Pada akhirnya, agen Velociraptor hanyalah mesin VQL — semua tugas ke agen hanyalah kueri VQL yang dijalankan mesin. Kueri VQL, seperti kueri basis data, menghasilkan tabel, dengan kolom (seperti yang ditentukan oleh kueri) dan beberapa baris. Agen akan mengeksekusi kueri, dan mengirim kembali hasilnya ke server yang hanya menyimpannya sebagai file. Pendekatan ini berarti server tidak benar-benar memproses hasil selain hanya menyimpannya dalam file. Oleh karena itu, beban di server minimal sehingga memungkinkan kinerja yang sangat skalabel.
Pemasangan
Velociraptor memiliki enam komponen utama:
- Depan – Frontend menerima koneksi dari klien.
- Gui – UI Web untuk mengakses velociraptor.
- Klien – Agen titik akhir Velociraptor
- Mesin VQL (VFilter) – Bahasa Query Velociraptor digunakan untuk query.
- Penyimpanan data – lokasi di mana Velociraptor akan menyimpan filenya.
- Penyimpanan file – digunakan oleh velociraptor untuk penyimpanan jangka panjang
Instal Velociraptor oleh Gettig biner Linux
mkdir velociraptor
cd velociraptor
wget https://github.com/Velocidex/velociraptor/releases/download/v0.5.3/velociraptor-v0.5.3-linux-amd64Jadikan Biner dapat dieksekusi
Jadi, setelah pengunduhan penginstal biner selesai, buat itu dapat dieksekusi dengan menjalankan perintah di bawah ini;
chmod +x velociraptor-v0.5.3-linux-amd64 Buat File Konfigurasi server
Generate server configuration file using the command below:
./velociraptor-v0.5.3-linux-amd64 config generate > /etc/velociraptor.config.yaml
To customize the configuration file generation use the command:
./velociraptor-v0.5.3-linux-amd64 config generate config generate -iSecara opsional, edit file Konfigurasi setelah dibuat untuk menyesuaikan penerapan Anda. Misalnya Anda dapat mengubah url server dan IP server tempat alamatnya terikat
vim /etc/velociraptor.config.yaml...
Client:
server_urls:
- https://192.168.56.102:8000/
...
API:
bind_address: 192.168.56.102
...
GUI:
bind_address: 192.168.56.102
...
Monitoring:
bind_address: 192.168.56.102
...Selain itu, lokasi Datastore dapat diedit untuk mengubah lokasi tempat Velociraptor akan menyimpan filenya.
Datastore:
implementation: FileBaseDataStore
location: /var/tmp/velociraptor
filestore_directory: /var/tmp/velociraptorPenting untuk dicatat bahwa komunikasi klien – server dienkripsi melalui HTTPS. Kunci disematkan dalam file konfigurasi.
Buat pengguna GUI
Kemudian, buat pengguna untuk mengakses GUI dengan menjalankan perintah di bawah ini;
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml user add unixcop --role administratormasukkan kata sandi untuk pengguna saat diminta:
Perintah di atas menambahkan pengguna admin dengan administrator peran. Peran lain yang tersedia adalah:
- pembaca
- analis
- penyelidik
- artifact_writer
Mulai Frontend Velociraptor
Mulai server Velociraptor menggunakan frontend perintah, -v flag digunakan untuk menampilkan keluaran verbose di terminal.
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml frontend -vMengakses Antarmuka Web Velociraptor
Akses server di https://SERVER-IP:8889 . Gunakan user dan password yang telah dibuat sebelumnya. Komunikasi GUI diautentikasi dengan Auth dasar.
Instal Layanan Systemd untuk Verociraptor
Selain itu, Anda dapat membuat layanan systemd untuk memulai Velociraptor sebagai layanan. Untuk pengelolaan yang lebih mudah, Anda dapat menyalin biner ke /usr/local/bin sebagai velociraptor .
cp velociraptor-v0.5.3-linux-amd64 /usr/local/bin/velociraptor
vim /lib/systemd/system/velociraptor.service
Tambahkan konten di bawah ini:
[Unit]
Description=Velociraptor linux amd64
After=syslog.target network.target
[Service]
Type=simple
Restart=always
RestartSec=120
LimitNOFILE=20000
Environment=LANG=en_US.UTF-8
ExecStart=/usr/local/bin/velociraptor --config /etc/velociraptor.config.yaml frontend -v
[Install]
WantedBy=multi-user.target
systemctl daemon-reloadMulai dan aktifkan velociraptor untuk memulai saat boot:
systemctl enable --now velociraptor
Periksa status velociraptor.
systemctl status velociraptor
● velociraptor.service - Velociraptor linux amd64
Loaded: loaded (/lib/systemd/system/velociraptor.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2020-12-09 21:10:37 EAT; 6s ago
Main PID: 21354 (velociraptor)
Tasks: 7 (limit: 595)
CGroup: /system.slice/velociraptor.service
└─21354 /usr/local/velociraptor --config /etc/velociraptor.config.yaml frontend -v
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting Server Artifact Runner Service
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting gRPC API server on 192.168.56.102:8001
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Launched Prometheus monitoring server on 192.168.56
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 GUI is ready to handle TLS requests on https://192.
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Collecting Server Event Artifact: Server.Monitor.He
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Frontend is ready to handle client TLS requests at
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Compiled all artifactsAkses GUI dan masuk ke antarmuka, Anda akan melihat dasbor GUI Velociraptor.
