Was das Forensik-Multitool Velociraptor kann und wie man es einsetzt

Inhaltsverzeichnis

Velociraptor ist ein vielseitiges Open-Source-Werkzeug für Endpoint-Forensik, Incident Response und Threat Hunting. Grundlage ist die Velociraptor Query Language (VQL), mit der sich flexibel Artefakte definieren und Daten abrufen lassen. Das Tool erlaubt die schnelle, parallele und zuverlässige Analyse von Systemen und eignet sich sowohl für kleine als auch für sehr große IT-Umgebungen. Der Artikel stellt Velociraptor am Beispiel der Schadsoftware brbbot.exe vor: von der Datensammlung über forensische Analyse und Threat Hunting bis hin zum Monitoring und der Dokumentation der Ergebnisse.

Velociraptor läuft plattformübergreifend und lässt sich in drei Modi betreiben. Im Client-Server-Modus verwaltet ein zentraler Server die Endpoints, die verschlüsselt über HTTPS angebunden sind. Das stellt die typische Variante für größere Umgebungen dar. Als Stand-alone-Variante läuft der Agent lokal auf einem Endpoint, ohne dass ein Server erforderlich ist – was sich besonders für Ad-hoc-Analysen eignet. Als dritte Variante gibt es den Offline Collector, der Daten ohne dauerhafte Installation sammelt. Diese Variante kann man auch über vorhandene Fernverwaltungs- oder EDR-Software (Endpoint Detection and Response) starten.

iX-tract

• Ob Incident Response, IT-forensische Analyse oder Threat Hunting: Velociraptor deckt das ganze Spektrum digitaler Spurensuche ab.
• Mit der eigenen Abfragesprache VQL lassen sich zielgerichtet Daten sammeln und untersuchen – von einzelnen Systemen bis hin zu ganzen Flotten.
• Ergebnisse kann man direkt in einem Velociraptor-Notebook erfassen und nachvollziehbar dokumentieren.

Mehr zum Thema IT-Forensik

• Was das Forensik-Multitool Velociraptor kann und wie man es einsetzt
• Daten der IT-Forensik von einzelnen Systemen mit speziellen Tools zusammenführen
• Forensik-Tool in der Praxis: Mit Velociraptor auf Spurensuche
• IT-Forensik: Einführung in Kroll Artifact Parser and Extractor
• IT-Forensik: Mit KAPE und Microsoft Autoruns Persistenzmechanismen aufdecken
• IT-Forensik: Spuren eines Angreifers aufdecken mit KAPE

Nadia Meichtry

Nadia Meichtry ist Digital-Forensics- und Incident-Response-Spezialistin bei der Oneconsult AG. Sie unterstützt bei der Bewältigung und Untersuchung von Cybervorfällen.

Darüber hinaus berücksichtigt Velociraptor eine mandantenfähige Architektur, die Daten und Berechtigungen strikt trennt. Dadurch sind mehrere Fälle und verschiedene Organisationen parallel bearbeitbar, ohne dass Informationen vermischt werden. Besonders für Dienstleister und Incident-Response-Teams, die mehrere Kundenumgebungen gleichzeitig betreuen, ist diese Funktionsweise entscheidend.

Das war die Leseprobe unseres heise-Plus-Artikels "Was das Forensik-Multitool Velociraptor kann und wie man es einsetzt". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.