Selamat datang di tutorial kami tentang cara menginstal dan mengatur Velociraptor di Ubuntu 18.04. Velociraptor adalah alat pemantauan titik akhir sumber terbuka yang memungkinkan pengumpulan informasi tentang client dan memantaunya. Ini didasarkan pada GRR, OSQuery dan alat Rekall Google.
Dalam pengaturan ini, kami akan membahas cara menginstal dan mengatur Velociraptor di Ubuntu 18.04 menggunakan opsi pengaturan penyebaran mandiri yang menggunakan model penyebaran server-client. Agen diinstal pada sistem client dan mereka berkomunikasi ke server melalui TLS.
Velociraptor memiliki enam komponen utama:
- Frontend – Frontend menerima koneksi dari client.
- Gui – Web UI untuk mengakses velociraptor.
- Client – Agen titik akhir Velociraptor
- VQL Engine (VFilter) – Bahasa Query Velociraptor digunakan untuk query.
- Data store – lokasi di mana Velociraptor akan menyimpan file-nya.
- File store – digunakan oleh velociraptor untuk penyimpanan jangka panjang
Kami juga akan mempelajari cara menginstal client Velociraptor pada titik akhir Windows dan Linux.
Instal dan Atur Velociraptor di Ubuntu 18.04
Step 1: Get velociraptor Linux binary
Dapatkan biner Velociraptor Linux terbaru dari halaman rilis resmi Velociraptor Github :
mkdir velociraptor cd velociraptor wget https://github.com/Velocidex/velociraptor/releases/download/v0.5.3/velociraptor-v0.5.3-linux-amd64
Step 2: Make the Binary executable
Setelah pengdownloadan penginstal biner selesai, buat itu dapat dieksekusi dengan menjalankan perintah di bawah ini;
chmod +x velociraptor-v0.5.3-linux-amd64
Step 3: Generate a server Config File
Buat file konfigurasi server menggunakan perintah di bawah ini:
./velociraptor-v0.5.3-linux-amd64 config generate > /etc/velociraptor.config.yaml
Untuk menyesuaikan pembuatan file konfigurasi gunakan perintah:
./velociraptor-v0.5.3-linux-amd64 config generate config generate -i
Secara opsional, edit file Konfigurasi setelah dibuat untuk menyesuaikan penerapan Anda. Misalnya Anda dapat mengubah url server dan IP server tempat alamat-alamat tersebut terikat;
vim /etc/velociraptor.config.yaml
... Client: server_urls: - https://192.168.56.102:8000/... API: bind_address: 192.168.56.102... GUI: bind_address: 192.168.56.102... Monitoring: bind_address: 192.168.56.102...
Selain itu lokasi Datastore dapat diedit untuk mengubah lokasi di mana Velociraptor akan menyimpan file-nya.
Datastore: implementation: FileBaseDataStore location: /var/tmp/velociraptor filestore_directory: /var/tmp/velociraptor
Penting untuk dicatat bahwa komunikasi client – server dienkripsi melalui HTTPS. Kunci disematkan dalam file konfigurasi.
Step 4: Create GUI user
Buat user untuk mengakses GUI dengan menjalankan perintah di bawah ini;
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml user add admin --role administrator
Masukkan password untuk user saat diminta:
Perintah di atas menambahkan user admindengan administratorperan. Peran lain yang tersedia adalah:
- pembaca
- analis
- peneliti
- artifact_writer
Step 5: Start Velociraptor Frontend
Mulai server Velociraptor menggunakan frontendperintah, -vbendera digunakan untuk menampilkan keluaran verbose di terminal.
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml frontend -v
Contoh keluaran:
[INFO] 2020-12-09T20:45:30+03:00 _ __ __ _ __ [INFO] 2020-12-09T20:45:30+03:00 | | / /__ / /___ _____(_)________ _____ / /_____ _____ [INFO] 2020-12-09T20:45:30+03:00 | | / / _ / / __ / ___/ / ___/ __ `/ __ / __/ __ / ___/ [INFO] 2020-12-09T20:45:30+03:00 | |/ / __/ / /_/ / /__/ / / / /_/ / /_/ / /_/ /_/ / / [INFO] 2020-12-09T20:45:30+03:00 |___/___/_/____/___/_/_/ __,_/.___/__/____/_/ [INFO] 2020-12-09T20:45:30+03:00 /_/ [INFO] 2020-12-09T20:45:30+03:00 Digging deeper! https://www.velocidex.com [INFO] 2020-12-09T20:45:30+03:00 This is Velociraptor 0.5.3 built on 2020-12-03T15:33:04+10:00 (e957bec) [INFO] 2020-12-09T20:45:30+03:00 Loading config from file /etc/velociraptor.config.yaml [INFO] 2020-12-09T20:45:30+03:00 Starting Frontend. {"build_time":"2020-12-03T15:33:04+10:00","commit":"e957bec","version":"0.5.3"} [INFO] 2020-12-09T20:45:30+03:00 Increased open file limit to 999999 [INFO] 2020-12-09T20:45:30+03:00 Starting Journal service. [INFO] 2020-12-09T20:45:30+03:00 Starting the notification service. [INFO] 2020-12-09T20:45:30+03:00 Starting Inventory Service [INFO] 2020-12-09T20:45:30+03:00 Loaded 216 built in artifacts in 49.831921ms [INFO] 2020-12-09T20:45:30+03:00 Starting Hunt Dispatcher Service. [INFO] 2020-12-09T20:45:30+03:00 Starting Label service. [INFO] 2020-12-09T20:45:30+03:00 Selected frontend configuration localhost:8000 [INFO] 2020-12-09T20:45:30+03:00 Starting Client Monitoring Service [INFO] 2020-12-09T20:45:30+03:00 Creating default Client Monitoring Service... [INFO] 2020-12-09T20:45:31+03:00 Starting the hunt manager service. [INFO] 2020-12-09T20:45:31+03:00 Starting Server Monitoring Service [INFO] 2020-12-09T20:45:31+03:00 Starting VFS writing service. [INFO] 2020-12-09T20:45:31+03:00 Starting Server Artifact Runner Service [INFO] 2020-12-09T20:45:31+03:00 Starting Enrollment service. [INFO] 2020-12-09T20:45:31+03:00 Collecting Server Event Artifact: Server.Monitor.Health/Prometheus [INFO] 2020-12-09T20:45:31+03:00 Starting gRPC API server on 192.168.56.102:8001 [INFO] 2020-12-09T20:45:31+03:00 Launched Prometheus monitoring server on 192.168.56.102:8003 [INFO] 2020-12-09T20:45:31+03:00 GUI is ready to handle TLS requests on https://192.168.56.102:8889/ [INFO] 2020-12-09T20:45:31+03:00 Frontend is ready to handle client TLS requests at https://localhost:8000/...
Output menunjukkan port mana yang didengarkan oleh GUI dan Front-end.
Mengakses Interface Web Velociraptor
Akses server di https://SERVER-IP:8889. Gunakan user dan password yang telah dibuat sebelumnya. Komunikasi GUI diautentikasi dengan Auth dasar.
Step 6 (Optional) : Install Systemd Service for Verociraptor
Selain itu, Anda dapat membuat service systemd untuk memulai Velociraptor sebagai service. Untuk pengelolaan yang lebih mudah, Anda dapat menyalin biner ke /usr/local/binsebagai velociraptor.
cp velociraptor-v0.5.3-linux-amd64 /usr/local/bin/velociraptor
Buat file service systemd:
vim /lib/systemd/system/velociraptor.service
Tambahkan konten di bawah ini:
[Unit] Description=Velociraptor linux amd64 After=syslog.target network.target [Service] Type=simple Restart=always RestartSec=120 LimitNOFILE=20000 Environment=LANG=en_US.UTF-8 ExecStart=/usr/local/bin/velociraptor --config /etc/velociraptor.config.yaml frontend -v [Install] WantedBy=multi-user.target
Reload daemon systemd:
systemctl daemon-reload
Mulai dan aktifkan velociraptor untuk memulai saat boot:
systemctl enable --now velociraptor
Periksa status velociraptor.
systemctl status velociraptor
● velociraptor.service - Velociraptor linux amd64 Loaded: loaded (/lib/systemd/system/velociraptor.service; enabled; vendor preset: enabled) Active: active (running) since Wed 2020-12-09 21:10:37 EAT; 6s ago Main PID: 21354 (velociraptor) Tasks: 7 (limit: 595) CGroup: /system.slice/velociraptor.service └─21354 /usr/local/velociraptor --config /etc/velociraptor.config.yaml frontend -v Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting Server Artifact Ru nner Service Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting gRPC API server on 192.168.56.102:8001 Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Launched Prometheus monitoring server on 192.168.56 Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 GUI is ready to handle TLS requests on https://192. Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Collecting Server Event Artifact: Server.Monitor.He Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Frontend is ready to handle client TLS requests at Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Compiled all artifacts.
Akses GUI dan login ke interface, Anda akan melihat dasbor GUI Velociraptor.
Instal dan Konfigurasikan Velociraptor Client
Seperti yang dinyatakan sebelumnya, komunikasi server-client Velociraptor terjadi melalui saluran HTTPS terenkripsi. Anda dapat menggunakan SSL yang ditandatangani sendiri atau sertifikat SSL tepercaya secara komersial.
Dalam pengaturan ini, kami akan menggunakan sertifikat SSL yang ditandatangani sendiri. Oleh karena itu, edit/etc/velociraptor.config.yamlfile konfigurasi dan tambahkan arahan use_self_signed_ssl: truedi blok di bawah sertifikat CA URL Frontentd untuk menggunakan sertifikat yang ditandatangani sendiri.
vim /etc/velociraptor.config.yaml
... nonce: cNzXMcNgk0g= use_self_signed_ssl: true writeback_darwin: /etc/velociraptor.writeback.yaml writeback_linux: /etc/velociraptor.writeback.yaml writeback_windows: $ProgramFilesVelociraptorvelociraptor.writeback.yaml tempdir_windows: $ProgramFilesVelociraptorTools...
Simpan file dan buat file konfigurasi client
./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml config client > client.config.yaml
NOTE:File konfigurasi client berisi sertifikat CA yang digunakan untuk otentikasi antara engine client dan Server Velociraptor.
Instal Client Velociraptor di Mesin Linux dan Windows
Client Velociraptor dapat dikonfigurasi dengan dua cara;
Using Velociraptor Binary
Metode ini melibatkan useran biner Velociraptor dan file konfigurasi client yang dihasilkan dari server. File konfigurasi client harus dicopy ke engine client. Metode ini sangat ideal untuk tujuan pengujian, untuk penyebaran besar metode kedua, di bawah, lebih disukai.
Using Velociraptor client packages
Metode ini mengemas file konfigurasi client pada paket Linux atau penginstal Windows yang kemudian didistribusikan ke engine target client.
Ikuti tautan di bawah ini untuk mempelajari cara menginstal dan mengonfigurasi client Velociraptor di engine Linux dan Windows.
Instal Velociraptor Client di Sistem Linux dan Windows
Kesimpulan
Itu membawa kita ke akhir panduan kami tentang cara menginstal dan mengatur Velociraptor di Ubuntu 18.04. Velociraptor adalah alat sumber terbuka yang kuat yang dapat digunakan untuk menanyakan host sehingga menyediakan pemantauan titik akhir, investigasi forensik digital, dan Perburuan Ancaman.
Bacaan lebih lanjut
Dokumentasi Velociraptor
Tutorial lainnya
Instal Kolide Fleet Osquery Fleet Manager di Debian 10
Instal Osquery di Debian 10 Buster
Instal dan Konfigurasikan Snort 3 NIDS di Ubuntu 20.04