Dnes se dozvíte, jak nainstalovat Velociraptor na Linux.
Velociraptor, který se poučil z těchto raných projektů, byl uveden na trh v roce 2019. Podobně jako GRR umožňuje Velociraptor také lov na mnoha tisících strojů. Velociraptor, inspirovaný OSQuery, implementuje nový dotazovací jazyk nazvaný VQL (Velociraptor Query Language), který je podobný SQL, ale rozšiřuje dotazovací jazyk mnohem výkonnějším způsobem. Velociraptor také zdůrazňuje snadnou instalaci a velmi nízkou latenci – typicky sbírá artefakty z tisíců koncových bodů během několika sekund.
Výše ukazuje přehled architektury Velociraptor. Server Velociraptor udržuje komunikaci s agenty koncových bodů (nazývanými klienty) za účelem velení a řízení. Webové administrační uživatelské rozhraní se používá k úkolování jednotlivých klientů, spouštění lovů a sběru dat.
V konečném důsledku jsou agenti Velociraptor prostě motory VQL – všechny úkoly pro agenta jsou prostě dotazy VQL, které engine provádí. Dotazy VQL, stejně jako databázové dotazy, vedou k tabulce se sloupci (jak je diktováno dotazem) a více řádky. Agent provede dotaz a pošle výsledky zpět na server, který je jednoduše uloží jako soubory. Tento přístup znamená, že server ve skutečnosti nezpracovává výsledky jinak, než že je pouze ukládá do souborů. Proto je zatížení serveru minimální, což umožňuje značně škálovatelný výkon.
Instalace
Velociraptor má šest hlavních součástí:
- Frontend – Frontend přijímá připojení od klientů.
- Gui – Webové uživatelské rozhraní pro přístup k velociraptoru.
- Klient – Agenti pro koncové body Velociraptor
- VQL Engine (VFilter) – Velociraptor Query Language používaný k dotazování.
- Úložiště dat – místa, kam bude Velociraptor ukládat své soubory.
- Úložiště souborů – používá velociraptor k dlouhodobému skladování
Nainstalujte Velociraptor by Gettig the Linux binární
mkdir velociraptor
cd velociraptor
wget https://github.com/Velocidex/velociraptor/releases/download/v0.5.3/velociraptor-v0.5.3-linux-amd64Udělejte z binárního souboru spustitelný
Jakmile je tedy stahování binárního instalačního programu dokončeno, udělejte jej spustitelným spuštěním příkazu níže;
chmod +x velociraptor-v0.5.3-linux-amd64 Vygenerujte konfigurační soubor serveru
Generate server configuration file using the command below:
./velociraptor-v0.5.3-linux-amd64 config generate > /etc/velociraptor.config.yaml
To customize the configuration file generation use the command:
./velociraptor-v0.5.3-linux-amd64 config generate config generate -iPo vytvoření konfiguračního souboru můžete volitelně upravit tak, aby vyhovoval vašemu nasazení. Můžete například změnit adresu URL serveru a IP serveru, ke kterému jsou adresy vázány
vim /etc/velociraptor.config.yaml...
Client:
server_urls:
- https://192.168.56.102:8000/
...
API:
bind_address: 192.168.56.102
...
GUI:
bind_address: 192.168.56.102
...
Monitoring:
bind_address: 192.168.56.102
...Umístění úložiště dat lze navíc upravit a změnit tak umístění, kam bude Velociraptor ukládat své soubory.
Datastore:
implementation: FileBaseDataStore
location: /var/tmp/velociraptor
filestore_directory: /var/tmp/velociraptorJe důležité si uvědomit, že komunikace mezi klientem a serverem je šifrována přes HTTPS. Klíče jsou součástí konfiguračního souboru.
Vytvořit uživatele GUI
Poté vytvořte uživatele pro přístup ke GUI spuštěním příkazu níže;
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml user add unixcop --role administratorPo zobrazení výzvy zadejte heslo pro uživatele:
Výše uvedený příkaz přidá uživatele admin s administrator role. Další dostupné role jsou:
- čtenář
- analytik
- vyšetřovatel
- artifact_writer
Spusťte frontend Velociraptor
Spusťte server Velociraptor pomocí frontend příkaz -v příznak se používá k zobrazení podrobného výstupu na terminálu.
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml frontend -vPřístup k webovému rozhraní Velociraptor
Přístup k serveru na https://SERVER-IP:8889 . Použijte uživatele a heslo vytvořené dříve. Komunikace GUI je ověřována základním ověřením.
Instalace Systemd Service pro Verociraptor
Navíc můžete vytvořit službu systemd a spustit Velociraptor jako službu. Pro snadnější správu můžete zkopírovat binární soubor do /usr/local/bin jako velociraptor .
cp velociraptor-v0.5.3-linux-amd64 /usr/local/bin/velociraptor
vim /lib/systemd/system/velociraptor.service
Přidejte obsah níže:
[Unit]
Description=Velociraptor linux amd64
After=syslog.target network.target
[Service]
Type=simple
Restart=always
RestartSec=120
LimitNOFILE=20000
Environment=LANG=en_US.UTF-8
ExecStart=/usr/local/bin/velociraptor --config /etc/velociraptor.config.yaml frontend -v
[Install]
WantedBy=multi-user.target
systemctl daemon-reloadSpusťte a povolte spuštění velociraptoru při startu:
systemctl enable --now velociraptor
Zkontrolujte stav velociraptoru.
systemctl status velociraptor
● velociraptor.service - Velociraptor linux amd64
Loaded: loaded (/lib/systemd/system/velociraptor.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2020-12-09 21:10:37 EAT; 6s ago
Main PID: 21354 (velociraptor)
Tasks: 7 (limit: 595)
CGroup: /system.slice/velociraptor.service
└─21354 /usr/local/velociraptor --config /etc/velociraptor.config.yaml frontend -v
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting Server Artifact Runner Service
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting gRPC API server on 192.168.56.102:8001
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Launched Prometheus monitoring server on 192.168.56
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 GUI is ready to handle TLS requests on https://192.
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Collecting Server Event Artifact: Server.Monitor.He
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Frontend is ready to handle client TLS requests at
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Compiled all artifactsVstupte do GUI a přihlaste se do rozhraní, uvidíte ovládací panel GUI Velociraptor.
