Selamat datang di tutorial kami tentang cara menginstal dan mengatur Velociraptor di Ubuntu 20.04. Velociraptor adalah alat pemantauan titik akhir sumber terbuka yang memungkinkan pengumpulan informasi status berbasis host dari berbagai titik akhir menggunakan kueri Velocidex Query Language (VQL) untuk pemantauan. Ini didasarkan pada GRR, OSQuery dan alat Rekall Google.
Instal dan Atur Velociraptor di Ubuntu 20.04
Dalam pengaturan ini, kami akan membahas cara menginstal dan mengatur Velociraptor di Ubuntu 20.04.
Ada berbagai metode penerapan Velociraptor seperti yang dijelaskan di halaman memulai.
Dalam tutorial ini, kami akan menerapkan Velociraptor menggunakan metode penerapan mandiri. Metode ini menggunakan model penyebaran server-client. Agen diinstal pada sistem client untuk dipantau.
Velociraptor memiliki enam komponen utama:
- Frontend – Frontend menerima koneksi dari client.
- Gui – Web UI untuk mengakses velociraptor.
- Client – Agen titik akhir Velociraptor
- VQL Engine (VFilter) – Bahasa Query Velociraptor digunakan untuk query.
- Data store – lokasi di mana Velociraptor akan menyimpan file-nya.
- File store – digunakan oleh velociraptor untuk penyimpanan jangka panjang
Download Linux binary Installer
Dapatkan biner Velociraptor Linux terbaru dari halaman rilis resmi Velociraptor Github dan simpan ke direktori biner sistem.
Download versi rilis Velociraptor saat ini dari halaman repositori Github di atas.
VER=0.5.8
Ganti nilai variabel VER di atas dengan nomor versi rilis saat ini.
Kemudian jalankan perintah di bawah ini untuk mengdownload penginstal Velociraptor;
wget https://github.com/Velocidex/velociraptor/releases/download/v$VER/velociraptor-v$VER-linux-amd64 -O /usr/local/bin/velociraptor
Ini mengdownload biner dan menyimpannya sebagai /usr/local/bin/velociraptor.
Make the Velociraptor Binary executable
Setelah pengdownloadan penginstal biner selesai, buat itu dapat dieksekusi dengan menjalankan perintah di bawah ini;
chmod +x /usr/local/bin/velociraptor
Biner sekarang harus tersedia di PATH saat ini.
which velociraptor
/usr/local/bin/velociraptor
Generate Velociraptor Server Config File
Velociraptor menggunakan sepasang file konfigurasi untuk mengontrol server dan titik akhir. Untuk menghasilkan file konfigurasi server, Anda dapat menggunakan perintah velociraptor config generate.
Untuk mendapatkan bantuan tentang perintah ini, jalankan;
velociraptor config generate --help
Anda dapat menjalankan perintah secara interaktif atau Anda dapat menjalankannya secara non-interaktif dan kemudian menyesuaikan file konfigurasi yang dibuat secara otomatis.
Sebelum melanjutkan, buat direktori konfigurasi untuk Velociraptor;
mkdir /etc/velociraptor
Untuk menjalankan perintah pembuatan konfigurasi Velociraptor secara interaktif;
velociraptor config generate -i
Saat dijalankan, Anda akan diminta untuk memberikan beberapa detail yang diperlukan.
Pilih sistem operasi, yang dalam pengaturan ini adalah Linux, tekan ENTER untuk melanjutkan
? Welcome to the Velociraptor configuration generator --------------------------------------------------- I will be creating a new deployment configuration for you. I will begin by identifying what type of deployment you need. What OS will the server be deployed on? [Use arrows to move, type to filter] > linux windows darwin
Pilih direktori penyimpanan data;
? Path to the datastore directory. (/opt/velociraptor) /var/tmp/velociraptor
Pilih jenis sertifikat SSL/TLS yang akan digunakan, kami menggunakan masuk sendiri dalam pengaturan ini.
> Self Signed SSL Automatically provision certificates with Lets Encrypt Authenticate users with SSO
Tetapkan nama domain frontend yang dapat Anda gunakan untuk mengakses Velociraptor;
? What is the public DNS name of the Frontend (e.g. www.example.com): [? for help] (localhost) vraptor.kifarunix-demo.com
Atur port Frontend dan GUI;
? Enter the frontend port to listen on. 8000 ? Enter the port for the GUI to listen on. 8889 ? Are you using Google Domains DynDNS? No
Setel kredensial login frontend. Tekan enter setelah Anda mengatur user untuk mengakhiri permintaan pembuatan user;
? GUI Username or email address to authorize (empty to end): kifarunix-demo-admin ? Password ******
Contoh keluaran setelah pembuatan user;
[INFO] 2021-04-26T18:16:59Z _ __ __ _ __ [INFO] 2021-04-26T18:16:59Z | | / /__ / /___ _____(_)________ _____ / /_____ _____ [INFO] 2021-04-26T18:16:59Z | | / / _ / / __ / ___/ / ___/ __ `/ __ / __/ __ / ___/ [INFO] 2021-04-26T18:16:59Z | |/ / __/ / /_/ / /__/ / / / /_/ / /_/ / /_/ /_/ / / [INFO] 2021-04-26T18:16:59Z |___/___/_/____/___/_/_/ __,_/.___/__/____/_/ [INFO] 2021-04-26T18:16:59Z /_/ [INFO] 2021-04-26T18:16:59Z Digging deeper! https://www.velocidex.com [INFO] 2021-04-26T18:16:59Z This is Velociraptor 0.5.8 built on 2021-04-11T22:09:54Z (e468f54c) [INFO] 2021-04-26T18:16:59Z Generating keys please wait....
Mengatur direktori logging;
? Path to the logs directory. (/var/tmp/velociraptor/logs) /var/log/velociraptor
Atur jalur untuk menulis file konfigurasi;
? Where should i write the server config file? (server.config.yaml) /etc/velociraptor/server.config.yaml
File konfigurasi client;
? Where should i write the client config file? (client.config.yaml) /etc/velociraptor/client.config.yaml
Dan itu saja. Jika Anda ingin secara manual menghasilkan file konfigurasi untuk penyesuaian nanti, jalankan saja
velociraptor config generate
Ini menghasilkan konfigurasi ke output standar.
Untuk menyimpan ke file;
velociraptor config generate > /etc/velociraptor/server.config.yaml
Perbarui alamat pengikatan Velociraptor API, GUI, Monitoring yang disetel ke alamat loopback secara default;
sed -e '/bind_address:/{s/127.0.0.1/192.168.59.14/}' -i /etc/velociraptor/server.config.yaml
Secara opsional, Anda dapat mengubah url server, alamat pengikatan Frontend, dll.
Selain itu lokasi Datastore dapat diedit untuk mengubah lokasi di mana Velociraptor akan menyimpan file-nya.
Datastore: implementation: FileBaseDataStore location: /var/tmp/velociraptor filestore_directory: /var/tmp/velociraptor
Penting untuk dicatat bahwa komunikasi client – server dienkripsi melalui HTTPS. Kunci disematkan dalam file konfigurasi.
Create Additional GUI userS
Anda dapat membuat user tambahan untuk mengakses GUI dengan menjalankan perintah di bawah ini;
velociraptor --config /etc/velociraptor/server.config.yaml user add admin --role administrator
Masukkan password untuk user saat diminta:
Perintah di atas menambahkan user admindengan administratorperan. Peran lain yang tersedia adalah:
- pembaca
- analis
- peneliti
- artifact_writer
Start Velociraptor Frontend
Anda dapat menjalankan Velociraptor dalam mode mandiri atau sebagai service.
Untuk menjalankan dalam mode standalone, gunakan frontendperintah sebagai berikut;
velociraptor -c /etc/velociraptor/server.config.yaml frontend -v
-v flag digunakan untuk menampilkan keluaran verbose di terminal.
Contoh keluaran:
[INFO] 2021-04-26T18:49:30Z _ __ __ _ __ [INFO] 2021-04-26T18:49:30Z | | / /__ / /
___ _____(_)________ _____ / /_____ _____ [INFO] 2021-04-26T18:49:30Z | | / / _ / / __ / ___/ / ___/ __ `/ __ / __/ __ / ___/ [INFO] 2021-04-26T18:49:30Z | |/ / __/ / /_/ / /__/ / / / /_/ / /_/ / /_/ /_/ / / [INFO] 2021-04-26T18:49:30Z |___/___/_/____/___/_/_/ __,_/.___/__/____/_/ [INFO] 2021-04-26T18:49:30Z /_/ [INFO] 2021-04-26T18:49:30Z Digging deeper! https://www.velocidex.com [INFO] 2021-04-26T18:49:30Z This is Velociraptor 0.5.8 built on 2021-04-11T22:09:54Z (e468f54c) [INFO] 2021-04-26T18:49:30Z Loading config from file /etc/velociraptor/server.config.yaml [INFO] 2021-04-26T18:49:30Z Starting Frontend. {"build_time":"2021-04-11T22:09:54Z","commit":"e468f54c","version":"0.5.8"} [INFO] 2021-04-26T18:49:31Z Increased open file limit to 999999 [INFO] 2021-04-26T18:49:31Z Starting Journal service. [INFO] 2021-04-26T18:49:31Z Starting the notification service. [INFO] 2021-04-26T18:49:31Z Starting Inventory Service [INFO] 2021-04-26T18:49:31Z Loaded 250 built in artifacts in 64.41334ms [INFO] 2021-04-26T18:49:31Z Selected frontend configuration vraptor.kifarunix-demo.com:8000 [INFO] 2021-04-26T18:49:31Z Starting Label service. [INFO] 2021-04-26T18:49:31Z Starting Client Monitoring Service [INFO] 2021-04-26T18:49:31Z Reloading client monitoring tables from datastore [INFO] 2021-04-26T18:49:31Z Creating default Client Monitoring Service [INFO] 2021-04-26T18:49:31Z Initial user kifarunix-demo-admin not present, creating...... [INFO] 2021-04-26T18:49:31Z Compiled all artifacts. [INFO] 2021-04-26T18:49:31Z Starting the hunt manager service. [INFO] 2021-04-26T18:49:31Z server_monitoring: Starting Server Monitoring Service [INFO] 2021-04-26T18:49:31Z Closing Server Monitoring Event table [INFO] 2021-04-26T18:49:31Z server_monitoring: Updating monitoring table [INFO] 2021-04-26T18:49:31Z server_monitoring: Collecting Server.Monitor.Health/Prometheus [INFO] 2021-04-26T18:49:31Z Starting VFS writing service. [INFO] 2021-04-26T18:49:31Z Starting Server Artifact Runner Service [INFO] 2021-04-26T18:49:31Z Starting Hunt Dispatcher Service. [INFO] 2021-04-26T18:49:31Z Starting Enrollment service. [INFO] 2021-04-26T18:49:31Z server_monitoring: Finished collecting Server.Monitor.Health/Prometheus [INFO] 2021-04-26T18:49:31Z Query Stats: {"RowsScanned":1,"PluginsCalled":1,"FunctionsCalled":0,"ProtocolSearch":0,"ScopeCopy":5} [INFO] 2021-04-26T18:49:32Z Starting gRPC API server on 192.168.59.14:8001 [INFO] 2021-04-26T18:49:32Z Launched Prometheus monitoring server on 192.168.59.14:8003 [INFO] 2021-04-26T18:49:32Z GUI is ready to handle TLS requests on https://192.168.59.14:8889/ [INFO] 2021-04-26T18:49:32Z Frontend is ready to handle client TLS requests at https://vraptor.kifarunix-demo.com:8000/
Output menunjukkan port mana yang didengarkan oleh GUI dan Front-end.
Mengakses Interface Web Velociraptor
Akses server di https://SERVER-IP:8889. Gunakan user dan password yang telah dibuat sebelumnya. Komunikasi GUI diautentikasi dengan Auth dasar.
Running Velociraptor as a service
Anda dapat membuat service systemd untuk menjalankan Velociraptor sebagai service.
Buat file service systemd:
cat > /etc/systemd/system/velociraptor.service << EOL [Unit] Description=Velociraptor linux amd64 After=syslog.target network.target [Service] Type=simple Restart=always RestartSec=120 LimitNOFILE=20000 Environment=LANG=en_US.UTF-8 ExecStart=/usr/local/bin/velociraptor -c /etc/velociraptor/server.config.yaml frontend -v [Install] WantedBy=multi-user.target EOL
Reload daemon systemd:
systemctl daemon-reload
Mulai dan aktifkan velociraptor untuk memulai saat boot:
systemctl enable --now velociraptor
Periksa status velociraptor.
systemctl status velociraptor
● velociraptor.service - Velociraptor linux amd64 Loaded: loaded (/etc/systemd/system/velociraptor.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2021-04-26 19:00:49 UTC; 8s ago Main PID: 1277 (velociraptor) Tasks: 8 (limit: 2281) Memory: 42.3M CGroup: /system.slice/velociraptor.service └─1277 /usr/local/bin/velociraptor -c /etc/velociraptor/server.config.yaml frontend -v Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Starting Server Artifact Runner Service Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Starting gRPC API server on 192.168.59.14:8001 Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Launched Prometheus monitoring server on 192.168.59.14:8003 Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z GUI is ready to handle TLS requests on https://192.168.59.14:8889/ Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Starting Hunt Dispatcher Service. Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Starting Enrollment service. Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Frontend is ready to handle client TLS requests at https://vraptor.kifarunix-dem> Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z server_monitoring: Finished collecting Server.Monitor.Health/Prometheus Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Query Stats: {"RowsScanned":1,"PluginsCalled":1,"FunctionsCalled":0,"ProtocolSea> Apr 26 19:00:49 vraptor.kifarunix-demo.com velociraptor[1277]: [INFO] 2021-04-26T19:00:49Z Compiled all artifacts.
Akses GUI dan login ke interface, Anda akan melihat dasbor GUI Velociraptor.
Jika UFW sedang berjalan, buka port di firewall;
ufw allow 8889/tcp
Terima peringatan SSL yang ditandatangani sendiri dan lanjutkan untuk masuk ke GUI Velociraptor.
Login dengan kredensial user yang dibuat sebelumnya.
Instal dan Konfigurasikan Velociraptor Client
Seperti yang dinyatakan sebelumnya, komunikasi server-client Velociraptor terjadi melalui saluran HTTPS terenkripsi. Anda dapat menggunakan SSL yang ditandatangani sendiri atau sertifikat SSL tepercaya secara komersial.
If you had generated the velociraptor config file manually dan Anda menggunakan sertifikat SSL yang ditandatangani, lalu edit /etc/velociraptor/server.config.yamlfile konfigurasi dan tambahkan arahan use_self_signed_ssl: truedi blok di bawahFrontentd URL CA certificate untuk menggunakan sertifikat yang ditandatangani sendiri.
vim /etc/velociraptor/server.config.yaml
... nonce: ERlmU1Ivj5w= use_self_signed_ssl: true writeback_darwin: /etc/velociraptor.writeback.yaml writeback_linux: /etc/velociraptor.writeback.yaml...
Simpan dan keluar dari file.
Jika Anda telah membuat file konfigurasi secara manual, maka buat file konfigurasi client
velociraptor -c /etc/velociraptor/server.config.yaml config client > /etc/velociraptor/client.config.yaml
NOTE:File konfigurasi client berisi sertifikat CA yang digunakan untuk otentikasi antara engine client dan Server Velociraptor.
Instal Client Velociraptor di Mesin Linux dan Windows
Client Velociraptor dapat dikonfigurasi dengan dua cara;
Using Velociraptor Binary
Metode ini melibatkan useran biner Velociraptor dan file konfigurasi client yang dihasilkan dari server. File konfigurasi client harus dicopy ke engine client. Metode ini sangat ideal untuk tujuan pengujian, untuk penyebaran besar metode kedua, di bawah, lebih disukai.
Using Velociraptor client packages
Metode ini mengemas file konfigurasi client pada paket Linux atau penginstal Windows yang kemudian didistribusikan ke engine target client.
Ikuti tautan di bawah ini untuk mempelajari cara menginstal dan mengonfigurasi client Velociraptor di engine Linux dan Windows.
Instal Velociraptor Client di Sistem Linux dan Windows
Kesimpulan
Itu membawa kita ke akhir panduan kami tentang cara menginstal dan mengatur Velociraptor di Ubuntu 20.04. Velociraptor adalah alat sumber terbuka yang kuat yang dapat digunakan untuk menanyakan host sehingga menyediakan pemantauan titik akhir, investigasi forensik digital, dan Perburuan Ancaman.
Bacaan lebih lanjut
Dokumentasi Velociraptor
Tutorial lainnya
Instal Kolide Fleet Osquery Fleet Manager di Debian 10
Instal Osquery di Debian 10 Buster
Instal dan Konfigurasikan Snort 3 NIDS di Ubuntu 20.04