Содержание статьи
- Предыстория
- Плюсы
- Гибкая модель развертывания
- Невероятная скорость и точность
- Онлайн-инвентаризация и проактивный threat hunting
- Собранные данные — не черный ящик
- Open Source и сообщество
- Минусы
- Начинаем
- Настраиваем сервер
- Настраиваем клиенты
- Начинаем охоту
- Интерфейс
- Исследуем хост на Linux
- Исследуем Windows-хост
- Как работать «в полях»
- Исследуем хосты на macOS
- Выводы
Я недавно познакомился с этим инструментом и удивился, насколько сильно он меняет привычный подход к администрированию и расследованиям. Дальше — мой опыт развертывания Velociraptor на РЕД ОС, установка агентов на Windows, Linux и macOS, включая Apple Silicon, а также примеры охоты и полезные артефакты. Для сисадминов это способ всегда держать руку на пульсе сети, для криминалистов — находить улики за считаные минуты.
Предыстория
Помнишь времена, когда DFIR (Digital Forensics and Incident Response) был тяжел? Образы дисков, дампы оперативной памяти, мучительный разбор в сторонних инструментах... Подход был всеобъемлющим, но медленным и расфокусированным. Философия «собери все, а потом подумаем» уже устарела. Ей на смену пришел целевой сбор (targeted acquisition): ты задаешь системе правильный вопрос и сразу получаешь точный ответ.
Так из идеи, родившейся в недрах Google, и вырос Velociraptor. Это опенсорс‑платформа, которая объединяет мощный язык запросов, гибкие артефакты и централизованное управление, — по сути, «Google для твоих хостов».
Плюсы
Мощь языка запросов VQL (Velociraptor Query Language) — сердце и главная суперсила инструмента. С его помощью ты можешь на лету задавать системе почти любые вопросы, не тратя время на сложные скрипты.
Универсальность VQL в том, что один запрос может собирать данные из реестра, файловой системы, памяти, журналов событий (EVTX), а также информацию о процессах и сети — в общем, все, что ты укажешь, и сводить это в один отчет.
Это очень гибкий подход: тебя не ограничивают предустановленные шаблоны. Если нужен специфичный сценарий — например, найти все исполняемые файлы, измененные за последние три дня и имеющие сетевые соединения, — просто пишешь подходящий VQL-запрос или находишь его в сети.
Синтаксис VQL похож на SQL, так что многим спецам он сразу понятен: ты делаешь SELECT данных FROM какого‑то источника (плагина), WHERE выполняется условие.
Артефакт — центральная сущность, в которую упакована VQL-логика инструмента. Velociraptor целиком опирается на артефакты. Что тут считать артефактом? Это YAML-файл с описанием:
- что собирать — например, полный список записей автозагрузки;
- как это собирать — какие VQL-запросы запускать на хосте;
- как это назвать и куда выводить, чтобы потом было удобно анализировать.
Плюс очевиден: в открытом доступе есть огромная коллекция готовых артефактов под сотни задач — от сбора базовых DFIR-артефактов вроде набора из курса SANS FOR500 до охоты за конкретными семействами малвари. Ты можешь использовать их как есть, дорабатывать под себя или создавать с нуля.
Гибкая модель развертывания
Работает это так.
- Легкий агент: на конечной точке разворачивается небольшой исполняемый файл (Velociraptor client). Это не классический демон, который постоянно висит в памяти: агент можно запустить вручную, по расписанию или как службу — как тебе удобнее.
- Pull-модель (запрос‑ответ): по умолчанию агент ничего не отправляет сам. Он просыпается, опрашивает сервер на наличие задач, выполняет их — например, собирает артефакты — и возвращает результат. Это снижает нагрузку на сеть и помогает работать тише. Ты можешь не отвлекать пользователя хоста, не засыпать его письмами с просьбами что‑то прислать и не вникать в его рабочий процесс, а спокойно собирать нужные для расследования данные. А уже потом проанализировать их и, если потребуется, задать вопросы.
- Полный контроль над данными: все данные остаются на твоем сервере. Никаких облачных подписок и никакой утечки информации к вендору — для многих организаций это критично. Информация о твоем разборе тоже никуда не утечет.
В отличие от многих консольных утилит, у Velociraptor есть полноценный веб‑интерфейс. В браузере проще запускать сбор и анализировать данные, чем строить в терминале запросы к файлам.
В нем доступны:
- обзор хостов — пригодится, если ты настроил регулярный сбор артефактов: здесь видно все подключенные клиенты и их базовую инвентаризацию — ОС, пользователя и IP-адрес;
- удобный запуск коллекций: артефакты можно запускать на одном, нескольких или сразу всех хостах в пару кликов;
- планировщик задач — позволяет настроить регулярный сбор артефактов для проактивного мониторинга;
- интерактивный анализатор — дает возможность просматривать собранные данные прямо в браузере — в JSON и таблицах, а при необходимости скачивать файлы без передачи данных на дополнительные узлы.
Невероятная скорость и точность
Это, пожалуй, главный плюс. Вместо того чтобы четыре часа сливать дамп диска ради одного файла, ты за двадцать секунд запускаешь артефакт и забираешь только то, что нужно. Например, файлы из папки %TEMP%, созданные сегодня, записи автозагрузки из всех возможных мест, список процессов с загруженными DLL. И все это — с хешами (MD5, SHA-256) и метаданными. Расследование можно начинать сразу. Работа с инструментом напоминает упражнения на стрельбище: точность, мощность, скорость.
Онлайн-инвентаризация и проактивный threat hunting
При постоянной установке Velociraptor превращается в мощную платформу для проактивной защиты. Если вести инвентаризацию непрерывно, ты всегда будешь знать, что работает в твоей сети: какое ПО установлено, какие обновления стоят и какое у тебя железо.
С помощью Velociraptor ты можешь и охотиться за угрозами. Например, за минуты, а не за дни массово проверить всю сеть на конкретный IoC (indicator of compromise): искать файл по хешу, запись в реестре или имя процесса. Для этого достаточно запустить такую задачу на агентах.
Velociraptor умеет мониторить события в реальном времени: можно настроить артефакты, которые отслеживают, например, создание новых сервисов или подключение USB-накопителей, и сразу присылают алерты.
Собранные данные — не черный ящик
Ты можешь просматривать их в удобных таблицах через GUI, экспортировать в JSON для дальнейшей автоматической обработки в SIEM или SOAR, скачивать собранные бинарники — например, подозрительные исполняемые файлы — для углубленного анализа на VirusTotal или в песочнице, а также генерировать подробные отчеты для руководства и коллег.
Open Source и сообщество
Все прозрачно: ты можешь проверить любой механизм сбора данных. Для incident response это критично. Если при сборе что‑то пошло не так, поправь запрос и запусти его заново.
За время жизни инструмента вокруг него выросла целая экосистема: активное сообщество в соцсетях, сотни контрибьюторов, регулярные вебинары от создателя — Майкла Коэна (Michel Cohen). На официальном сайте постоянно появляются новые артефакты и техники.
Похоже на серебряную пулю, правда? Или на таблетку от всех компьютерных болезней? Во многом так и есть. Но у любого мощного инструмента есть свой порог входа и свои особенности, которые важно понять до внедрения.
Velociraptor — это фреймворк, а не point-and-click-утилита. Его сила — в гибкости, но она требует понимания.
Минусы
- Порог входа. Чтобы выйти за рамки готовых артефактов, придется освоить VQL. На это нужны время и перестройка мышления. Плюс желательно хотя бы базово понимать, как работают СУБД. Впрочем, если ты «бог» SQL-запросов, этот минус для тебя вряд ли будет минусом.
- Ответственность за данные и инфраструктуру. Здесь ты сам себе и вендор, и DevOps-инженер. Придется думать о резервных копиях базы, TLS-сертификатах и нагрузке на сеть при массовом сборе. Запросы тоже лучше не раздувать: чем гибче их структура, тем проще с ними жить.
- «Велик» — не коробочное решение. Это не та штука, которую можно просто включить и забыть. Максимум пользы Velociraptor приносит, когда ты активно им пользуешься и собираешь артефакты под свою среду. Если работаешь с ним регулярно, со временем у тебя появится набор своих запросов: их можно быстро допиливать и использовать дальше, а не начинать каждый раз с нуля.
Но эти минусы — обратная сторона его силы. Поэтому лучший способ понять Velociraptor — посмотреть, как он работает на практике. Давай развернем тестовый сервер и выполним первый, но уже осмысленный запрос.
Начинаем
Настраиваем сервер
Сначала выбери платформу, на которой будешь разворачивать сервер: определи, какая это будет система.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
