Velociraptor Nedir?
Velociraptor, en basit tanımı ile endpointler üzerindeki görünürlüğü artıran, gelişmiş özelliklere sahip olan ve olay müdahalesi süreçlerinde kullanılan yapay zeka tabanlı bir EDR ürünüdür. Genel olarak Linux, Windows ve mac OS sistemleri üzerinde çalışabilmektedir.
Bu mimarinin avantajlarına örnek vermek gerekirse Velociraptor ürününün kurulu olduğu endpointlerden biri ortamdan ayrılarak farklı bir ortamda çalışırsa, sunucuya raporlamaya devam edebilecektir. Bu da monitoring ve endpoint aktivitelerini incelemek açısından tehdit avcılığı süreçlerinde büyük önem arz etmektedir.
Mimari olarak farklı sistemlerdeki gibi server ve client mantığı ile oluşmaktadır.
Bir Windows üzerine Velociraptor yapılandırma konusunda kurulum için ön koşul olarak;
- Minimum 4 GB Ram ve 4 CPU özelliklerine sahip Windows 10 işletim sistemi
- Yönetici yetkisine (Administrator veya root) sahip sistem ve CMD komut satırı gibi minimum ortam gereksinimlerine ihtiyaç duymaktadır.
VQL Nedir?
Velociraptor Query Language (VQL) ürün arayüzündeki sorguda veya yapılarda herhangi bir değişiklik yapmadan, ek yazılıma ihtiyaç duymayan ve analistin isteklerini kolayca uyarlamak için tasarlanan bir frameworktür. Velocidex sorguları ile kurulu olduğu endpointler üzerinde çeşitli sorgular yapılarak bilgilerin toplanmasını sağlamaktadır.
Velociraptor’un gücü ve esnekliği Velociraptor Sorgu Dili’nden (VQL) gelmektedir. Server üzerindeki görevlerinin yanı sıra endpointlerde sürekli izleme üzerine kurallar oluşturmak için de kullanılabilir.
Örnek olarak dashboard üzerindeki Notebooks alanında “SELECT * FROM info()” şeklinde kısa bir velocidex sorgusu yapılarak ilgili client hakkında bilgiye erişilebilir.
Velociraptor kurulumu gayet basittir. Ayrıntılı bilgiye ve daha fazlasına github reposundan ulaşılabilmektedir.
Ayrıca genel dokümantasyonu da incelenebilir.
https://github.com/Velocidex/velociraptor/releases
https://docs.velociraptor.app/
Kurulum sonrasında agent yüklemesi yapılarak ilgili agent üzerindeki aktiviteler incelenebilir. Burada normal veya MSI’ı kullanarak iki şekilde kurulum yapılabilir. MSI’a değinmek gerekirse, standart bir Windows paket yükleyicisidir. Yani MSI ve executable dosyanın imzalanmış olması gerekir. Windows Defender, imzasız binary dosyaları hızlıca karantinaya alır. Bu sebeple Velociraptor’un imzalanması şiddetle önerilir. Windows MSI ile Velociraptor, endpoint üzerinde bir servis gibi çalışır. Biz burada örnek bir çalışma için Windows Defender bypass yaptığımızdan ötürü normal kurulum yaptık.
Adli İnceleme ve Tehdit Avcılığı
Velociraptor üzerinde kurulu olan client(endpoint) hakkında (hostname, OS vb.) bilgiler elde edilebilir.
Client hakkında yine sorgulamalar yaparak toplanan bilgileri de görebiliriz. Bunlar varsayılan olarak getirdiği müşteri hakkında bazı temel bilgiler de olabilir.
Yukarıdaki görselde kutucuk içerisindeki alandan elde edilen veriler zip olarak indirilerek içerikleri kontrol edilebilir. Örnek bir görüntü aşağıdaki gibidir.
Analiste sunulan diğer alanları incelemek gerekirse hunting yapabileceğimiz “Hunt Manager” adında bir alan bulunmaktadır.
Bu özelliği sayesinde client üzerinde belirli olayları aranmasına, belirli artifactlerin görüntülenmesine, sunucu yapılarının kontrol edilmesine yani en basit tanımı ile bir tehdit avcılığı sürecinin yürütülmesine imkan sağlamaktadır. Ayrıca belirli artifactler seçilerek bir hunt işlemi başlatılabilir. Burada örnek olarak Chrome History üzerinden bir hunting işlemi yapılmıştır. Görselde de görüleceği gibi işlem hakkında detaylar belirlenmiştir.
Bir sonraki adım olan Select Artifact alanına ilerleyerek bize arama yaparak getirmesini istediğimiz kısımları belirliyoruz.
İlerlemeye devam ettiğimizde Review kısmında seçili alanlar üzerinde arama yapması için belirli artifactleri json formatında göstermektedir. Bunlar üzerinde herhangi bir değişiklik yapılabilir yani özelleştirilebilir.
Hunt işlemi için yukarıdaki ayarlamalar tamamlanır ve Launch butonu ile aşağıdaki görseldeki alana kaydı düşer ve onaylanarak hunt işlemi başlatılabilir.
Hunt işlemi çıktılarını incelemek gerekirse örnek olarak client makine hakkında Chrome History bilgilerine erişilebilir. Yine aynı şekilde çerezler de incelenebilir. Örnek bir kesit aşağıdaki görselde verilmiştir.
Buraya kadar Chrome üzerinde ufak bir analiz yapılmıştır. Şimdi ise client üzerinde windows forensic artifactleri üzerinde analiz yapmak istersek yeni bir hunt işlemi oluşturmamız gerekecektir. Yine aynı şekilde bir hunt görevi oluşturduk.
Belirttiğimiz artifactler üzerinde bir arama başlattık ve çıktıları da aşağıdaki görseldeki gibidir. Bu şekilde hunt görevleri oluşturarak client üzerinde incelemeler yapılabilmektedir. Yine aynı şekilde dosyalar tek tek incelenerek endpoint üzerindeki aktiviteler görülebilmektedir.
Örnek bir uygulama olarak yine client üzerinde, daha önce farklı sandboxlar üzerinde tespit edilen ve Infinitumit ekibi olarak analiz raporu sunduğumuz Agent Tesla zararlısı hakkında hunt işlemi yaptığımızda zararlıya ait bilgileri görebiliriz. Bu tarz sorgular ile endpointler üzerinde tehdit avcılığı stratejileri genişletilebilmektedir. Zararlıyı üzerinde hunting yapmak için kullanılan sorgu ise Windows.System.Pslist yani çalışan process listlerin getirilmesidir.