Velociraptor großflächig einsetzen
Bei einem Ransomwareangriff ist typischerweise nicht nur ein einzelnes System betroffen, sondern Hunderte oder sogar Tausende. Hier kann das Werkzeug Velociraptor bei einer großflächigen Triage und Analyse helfen.
Für die Untersuchung eines einzelnen Systems gibt es verschiedene Werkzeuge, um schnell und effizient relevante Informationen zu sichern. Man stelle sich jedoch vor, man kommt an einem Montagmorgen ins Büro, schaltet seinen Laptop ein und es erscheint eine Meldung wie in Abbildung 1. Und sie erscheint nicht nur auf einem System, sondern auf allen Geräten der Mitarbeitenden und diversen Servern. Um die Frage zu beantworten, was genau passiert ist, muss man eine forensische Analyse durchführen. Doch wie lassen sich die Daten von dieser großen Anzahl von Systemen sammeln und untersuchen? Genau an dieser Stelle kommt Velociraptor ins Spiel.
Velociraptor ist ein forensisches Werkzeug zur Visualisierung und Datensammlung von verschiedenen Endpunkten. Die Informationen werden mithilfe einer eigenen Abfragesprache erfasst, der Velociraptor Query Language (VQL). Diese Abfragesprache ist in allen Artefakten enthalten und wird zum Sammeln und Überwachen von Daten auf den Clients verwendet. Velociraptor hat eine große Liste solcher vorinstallierter Artefakte, die auch angepasst werden können. Der Begriff „Artefakt“ aus Sicht von Velociraptor ist jedoch nicht gleichbedeutend mit einem Artefakt aus Sicht der Forensik. In der digitalen Forensik ist ein Artefakt ein beobachtbares Objekt, das durch menschliche oder automatische Aktivitäten auf einem Computer entsteht. Zum Beispiel die Windows-Ereignisprotokolle.