Open in app

Sign in

Write

Sign in

Velociraptor nedir?

Hafize ACAR
6 min readApr 23, 2022

--

Velociraptor bir DFIR aracıdır. Velociraptor Sorgu Dili (VQL); aracılığıyla size güç ve esneklik sağlar. Belirli yapıları aramak ve uç nokta guruplarından faaliyetleri izlemek için güçlü ve verimli bir yola ihtiyaç duyulan; Dijital Adli ve Olay Müdahalesi (DFIR) uzmanları tarafından geliştirilmiştir. Velociraptor, çok çeşitli dijital adli tıp ve siber olay müdahale soruşturmalarına ve veri ihlallerine daha etkin bir şekilde yanıt verme yeteneği sağlar.
Bilgi toplama, uç noktaları izleme ve yanıtı kontrol etme, araştırma sorularımızı yanıtlamak için kanıtları toplamak ve analiz etmek için yapay senoryalar oluşturup vaka havuzu oluşturur.

Velociraptor genel özellikleri:

  • Dijital adli analiz yoluyla saldırgan faaliyetlerini yeniden yapılandırır.
  • Kötü amaçlı yazılım saldırılarını diğer şüpheli ağ etkinliklerini araştırır.
  • USB cihazlarına kopyalanan dosyaların şüpheli kullanıcı hareketlerini sürekli izleme ve analiz etmede yardımcı olur.
  • Gizli bilgilerin ifşasının ağ dışında gerçekleşip gerçekleşmediğini keşfeder.
  • Tehdit avında ve gelecekteki araştırmalarda kullanılmak üzere zaman içinde uç nokta verilerini toplar.
  • Tipik dağıtımlar Velociraptor verimli ve ölçeklenebilirdir:
  • Server sadece sorguların sonuçlarını toplar, tüm ağır işleri istemciler yapar. İstemci belleği ve CPU kullanımı, aktif iptaller yoluyla kontrol edilir. Sunucu hız ve ölçeklenebilirlik için optimize edilmiştir.

* Eş zamanlılık kontrolü kararlılık sağlar.

* Bant genişliği sınırları ağ kararlılığını sağlar.

*Çoklu Platforma hitap eder: Linux, MacOS, Windows, FreeBSD

VQL Sorgu Dili — Volociraptor Farkı

Velaciprator’un gücü ve esnekliği, Velociraptor Sorgu Dili’nin (VQL) gelir. VQL, bir uç nokta guruplarının veya tüm ağın neredeyse her yönünü toplamamıza, sorgulamamıza ve izlememize olanak tanıyan, yüksek düzeyde özelleştirilmiş yapay nesneler oluşturmaya yönelik bir çerçevedir. Ayrıca sunucudaki görevleri otomatikleştirmenin yanı sıra uç noktada sürekli izleme kuralları oluşturmak için kullanılır.

Velociraptor’u dağıtım işlemi; SSL kendinden imzalı veya bulut dağıtımı veya test ortamı için yerel makanizmada bir Velociraptor ortamı kurulur.

Kendinden İmzalı SSL

SSL kendinden imzalı veya bulut dağıtımı veya test ortamı için yerel makanizmada bir Velociraptor ortamı kurulur. Volociraptor dağıtımları, ilk yapılandırma oluşturma adımı sırasında oluşturulan, kendinden imzalı bir serfitika yetkilisi (CA) kullanarak güvence altına alınır. İstemcinin yapılandırılması, iletişim sırasında gereken tüm serfitikaları doğrulamak için kullanılan imzalı CA’yı içerir. (self-signed SSL) Modda, Velociraptor dahili CA’sını kullanarak kendi sunucu serfitikasını yayınlar. Bu, yöneticisi GUI’sının ve ön ucu ayrıca kendinden imzalı bir sunucu serfitikası kullandığı anlamına gelir.

Neden Yeni Sorgu Diline ihtiyaç duyulmuştur?

Bir sorgu diline duyulan ihtiyaç, önceki Dijital Adli ve Olay Müdahale (DFIR) çerçeveleriyle ilgili deneyimlerimizden doğmuştur. Uç nokta analiz araçları, yeni tehlike göstergelerine (IOC’ler) uyum sağlayacak ve yeni tehditlere karşı koruma sağlayacak kadar esnek olmalıdır. Kodda yeni yetenekler geliştirmek her zaman mümkün olsa da, yeni bir sürümü dağıtmak her zaman kolay yada hızlı değildir. Bir sorgu dili, bir IOC’yi keşfetmek için gereken süreyi hızlandırabilir, onu algılamak için bir kural tasarlayabilir ve ardından algılamayı çok sayıda ana bilgisayar arasında uygun ölçekte dağıtabilir. Bir DFIR araştırmacısı, VQL kullanarak yeni bir gösterge türünü öğrenebilir, ilgili VQL sorguları yazabilir, bunları bir yapı içinde paketleyebilir ve birkaç dakika içinde tüm dağıtım genelinde yapıyı arayabilir. Ek olarak, VQL yapıtları toplulukla paylaşılabilir ve DFIR’ye özgü göstergeler ve algılama teknikleri bilgi alışverişini kolaylaştırabilir.

Not Defteri Özelliği

Not defterleri, etkileşimli bir rapor oluşturmak için işaretleme ve VQL sorgularını araya ekleyebilen etkileşimli ortak belgelerdir. Defterler genellikle bir veya daha fazla aramayı izlemek ve işleme koymak veya bir araştırma üzerinde iş birliği yapmak için kullanılır. Özelliği iş başında görmek için bir defter oluşturalım. Velociraptor GUI’yi başlatıp, bunu kolayca yapabilirsiniz velociraptor.exe gui. Yeni bir sunucu yapılandırması oluşturarak yerel makinede yeni bir sunucu başlatacaktır.

Velociraptor NTFS İncelenmesi:

NTFS, standart Windows dosya sistemidir. Velociraptor, güçlü NTFS analiz yetenekleri içerir. NTFS, standart Windows dosya sistemidir. Tüm dosyalar bir Ana Dosya Tablosunda temsil edilir. Dosyalar birden fazla öz nitelik içerebilir: Veri niteliği içerir. Veri nitelikleri sıkıştırılmış veya seyrek olabilir. Dosya adı öz nitelikleri kendi özelliklerini içerir. Kendi zaman damgaları dosya verilerini içerir.

NTFS’de tüm dosyalar bir Ana Dosya Tablosu (MTF); MFT ayrıca dosya sistemi içinde özel dosya adına sahip bir dosyadır. $MFT bu özel dosya normalde API tarafından gizlenirken, Velociraptor’un NTFS ayrıştırıcısı onu görüntülemeye, okumaya veya karşıya yüklemeye hazır hale getirir.

MFT NEDİR?

Ana Dosya Tablosu MFT dosya sistemi, MFT’nin kendisi de dahil olmak üzere, bir NTFS dosya sistemi birimindeki her dosya için MFT de en az bir girişi vardır. Boyutu, saat ve tarih damgaları, izinleri ve veri içeriği dahil olmak üzere bir dosyayla ilgili tüm bilgiler, MFT girişlerinde veya MFT girişleri tarafından tanımlanan MFT’nin dışındaki alanda depolanır.
Dosya geçmişinde var mıdır? Sürücünün sisteme daha önce tanıtılmış, ancak yakın zamanda silinmiş olması mümkün mü? Saldırgan sürücüden yararlanabilir mi? Velociraptor bu sorulara cevap bulur.

MFT TABLOSU

Güncelleme Sıra Numarası Günlüğü (USN);

Dosya sistemi değişikliklerini kaydetmek için NTFS tarafından tutulur. Öncelikle yedekleme programlarını desteklemek için tasarlanan USN günlüğü, dosya sistemi değişiklikleriyle ilgili meta verileri kaydeder. Günlük yolda bulunur ve normalde gizli bir NTFS dahili dosyasıdır. (Bu nedenle yalnızca erişimci $Extend\$UsnJrnl:$Jaracılığıyla erişilebilir ).ntfs Windows, USN kayıtlarını dosyanın sonuna ekler. Ancak, dosya seyrektir düzenli aralıklarla NTFS, dosyayı seyrek hale getirmek ve disk alanını korumak için dosyanın başlangıcındaki aralığı kaldırır. Tipik olarak dosya çok büyük bir boyut bildirir, ancak dosyanın ilk kısmı seyrek olduğu için aslında diskte yalnızca 30-40mb alır.

USN TABLOSU

VELOCİRAPTOR OPEN SOURCE DİGİDAL FORENSİCS İNCELENMESİ:

Digital adli tıp, tam disk görüntüleri “adli kopyalar”, kanıtlar bir adli incelemelerde kullanılarak analiz edilir. Yazma engelleyici ile birçok uzman aracı çalıştırmak gerekir, soruşturma için tipik bir süre gerekebilir.

Adli kopyalar oluşturup incelemelerde karşılaştırmaları kolaylıkla yapar. Kanıtlar adli bilişim lab ortamı kullanılarak analiz edilir. Yazma engelleyici ile birçok uzman aracı ile ölçeklenmez… soruşturma haftaları alır. Velociraptor analiz yöntemlerini kullanarak soruları kısa sürede cevapları yanıtlar. Saldırganın davranışını yeniden yapılandırır yada tüm analiz yetenekleri zaten mevcutsa analizi doğrudan dakikalar içinde çalıştırıp inceler. Ya tüm analiz yetenekleri uç noktada zaten mevcut olsa, analizi doğru ölçekte dakikalar içinde sürekli olarak çalıştırabilir. Bir sorgu dili kullanarak yeni analizler oluşturmak için farklı adli yetenekleri bir araya getirebiliriz. Açık kaynağın Gücünü burada kullanabiliriz. Velociraptor yapıt değişimi, topluluğun yeniden kullanım için faydalı VQL yapıtlarını yayınlaması için bir yerdir.
• Dijital Adli Tıp’ın çoğu, ikili verilerin ayrıştırılmasıyla ilgilidir.

Velociraptor güçlü bir ikili ayrıştırıcı ile birlikte gelir Volatility ve Rekall ayrıştırıcılarından esinlenerek veri odaklıdır

• Belleği tarama, bir ikili deseni tanımlamak için Yara’yı kullanma.

  • Konfigürasyonu ayrıştırmak için X veya kod çözümü.
  • Konfigürasyonu ayrıştırmak için ikili ayrıştırıcı
    harici araçları çalıştırma
  • Velociraptor çok güçlüdür ancak bazen uzaktan çalıştırabilmek istediğimiz bazı özel adli araçlar vardır, Velociraptor bu araçları bir VQL yapısı içinde şeffaf bir şekilde kullanabilir.
  • • Araçlar uç noktaya teslim edilir ve “yerel olarak önbelleğe alınır, ardından yürütülür ve sunucuda geçici araçlara geri toplanır ve ölçeklenebilirlik özelliği artık onu bir tuşla uzaktan çalıştırabiliriz.
    Velociraptor, burada ele aldığımızdan çok daha fazlasına sahiptir:

Event Log (Windows Event Log)

Yapılandırılmamış metinden oluşan geleneksel unix tarzı günlük dosyalarının aksine, Windows EVTX dosyaları çeşitli avantajlarla ikili biçimde depolanır: Rollover — EVTX dosyası parçalara bölünür ve yeni parçalar eski parçaların üzerine yazabilir. Bu, dosya boyutunun sınırlandırılmasına izin verir ve olay günlüğü dolduğunda, olaylar basitçe dosyanın eski olayların üzerine yazıldığı başlangıç ​​noktasına döner. İkili XML formatı biraz sıkıştırma sağlar. gzip veya bzip kadar sıkıştırma olmasa da, EVTX dosyaları düz XML üzerinde biraz yer kazanmak için ikili bir kodlama kullanır. Güçlü tiplere sahip yapılandırılmış kayıtlar ise bu belki de Unix tarzı günlüklerdeki en önemli farktır. Yapılandırılmış günlükler, günlük dosyalarının doğru ve hızlı bir şekilde filtrelenmesini sağlar ve yapılandırılmamış metni ayrıştırma ihtiyacını ortadan kaldırır. VQL Velociraptor’un sihirli kaynağı, belirli analiz modüllerine sahip olmak yerine, VQL genel yeteneklerin özgün yaratıcı yollarla birleştirilmesine olanak tanır NTFS/MFT/USN/Glob dosya sistemi analizi Dosya ayrıştırıcıları Grok, Sqlite vb. Yeni ikili ayrıştırıcılar için yerleşik güçlü ayrıştırıcı çerçevesindedir.

KAYNAKCA

Velociraptor Training

Edit description

docs.velociraptor.app

Digital Forensics
Dfir
Cybersecurity
Ntfs
Mft

--

--

Hafize ACAR
Hafize ACAR

Written by Hafize ACAR

9 Followers
5 Following

Fırat Ünüversitesi Adli Bilişim Mühendisliği 3. sınıf öğrencisiyim. Blue team tarafında ilgileniyorum.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams