Por último he estado trabajando con velociraptor por sus capacidades forenses digitales y de punto final y específicamente dedicó tiempo en muchos casos en los últimos dos abriles con velociraptor Offline Collector funciona para resumir datos forenses en casos de IR.
A veces surgen situaciones en las que tiene sistemas host de los que le gustaría resumir datos de clasificación de IR, pero tal vez uno o más de los siguientes factores están inhibiendo la comunicación en tiempo existente con un velociraptor servidor.
- Quizás la estructura cliente no tenga ya velociraptor configuración.
- El punto final deseado está separado de la propia red a la que tiene una estructura velociraptor instancia del servidor ejecutándose.
- Tal vez sea una computadora portátil que está de alucinación y no se dilación que regrese a la red de la oficina o se conecte nuevamente a través de VPN, y esos datos no pueden ingresar a la red de la estructura. velociraptor servidor.
Si todavía quieres disfrutar Velociraptor colección y posprocesamiento de artefactos, este blog guiará al maestro a través de los pasos necesarios para integrar un paquete de artefactos ‘Offline Collector’ ya ejecutado en su velociraptor servidor y muestre artefactos que provienen de un host macOS para una clasificación preliminar rápida. Esto es aplicable a otros sistemas operativos, pero recientemente he estado dedicando tiempo a los sistemas Linux y Apple macOS, por lo que es una oportunidad perfecta para darles poco de tiempo en la blogósfera y tener esta discusión mientras los presento.
Preliminar
Los resultados del Offline Collector incluyen una enorme cantidad de datos recopilados de un posible host y comprimidos (como un .CREMALLERA archivo) para que puedan escabullirse y examinarse fácilmente. El coleccionista sin conexión .CREMALLERA El archivo igualmente se puede presentar en un archivo existente. velociraptor servidor para ingestión, y eso es lo que queremos hacer hoy.
Tenga en cuenta que cuando el velociraptor recorre la colección, producirá un .CREMALLERA archivo, y cuando lo hace, hereda el permiso de quien lo ejecutó. En este ejemplo, muestro sistemas macOS, por lo que los permisos de sucesor efectivamente importan. Cuando miro mi archivo recopilado anteriormente, observo que tiene un atributo de propiedad establecido solo para el sucesor. raíz (porque corrí velociraptor Coleccionista sin conexión a través de sudo). Por lo tanto, es imprescindible comprobar el .CREMALLERA archivo y averigüe si todavía es “propiedad de root” y, de ser así, realice un cambio de propiedad antaño de continuar. Configuré los permisos con chown y advenir a la velociraptor Interfaz de sucesor.
En la GUI de Velociraptor
Comience iniciando sesión en su velociraptor instancia del servidor GUI y utilizar las credenciales como Dependencia. Queremos ver todas las opciones adentro de la GUI de oficina. Ahora, navegue hasta Artefactos del servidor desde la mostrador anexo y busque el + clavija cerca de la parte superior del situación que aparece. Aquí es donde puedes comenzar una nueva colección.
La colección que necesitamos es peculiar porque vamos a encargar el velociraptor GUI de oficina para extraer un archivo de almacenamiento sin conexión del recopilador (el .CREMALLERA file) e ingerirlo para que aparezca como un cliente en el que podemos procesarlo más delante. Escriba en el cuadro de búsqueda los siguientes términos (sin distinguir entre mayúsculas y minúsculas) y aparecerá en el situación de la derecha: Server.Utils.ImportCollection.
Tenemos que afrontar las opciones de configuración del funcionamiento. Se puede dejar solo un tercio de los parámetros de configuración. Pero proporcione el nombre de host de la “víctima” para que pueda diferenciarse en velociraptor. Proporcione la ruta al archivo del recopilador sin conexión y colóquelo en el campo de ruta.
Continúe con Iniciar (en el extremo derecho) y luego asegúrese de demostrar el registro y los resultados, buscando mensajes de error o anomalías. Un problema que puede ocurrir es que uno podría olvidar quién es el “dueño” del archivo, y aquí es donde verá un evento de referencia de error “Permiso denegado” en el resultado. Nuevamente, recuerde cambiar el atributo de propiedad del archivo antaño de comenzar.
Mirando los resultados
Mi artefacto Offline Collector para mi sistema macOS de prueba tenía una serie de artefactos que esperaba que arrojaran algunos resultados interesantes: 22 prospectos en total. Algunos de ellos eran una mezcla de los artefactos horneados que ya estaban en un velociraptor GUI cuando lo ejecuté por primera vez, así como los que saqué de Artifact Exchange e integré en mi velociraptor instancia. La relación que elegí mostrar son las siguientes que estaban dirigidas a algunas de las cosas interesantes que puedo esperar encontrar en un sistema Apple macOS y recopilarlas rápidamente sin esperar.
Hay muchos más, y mucho para designar, que se ofrecen adentro velociraptorpero se seleccionaron porque suelen producir resultados rápidamente.A
Sólo estos artefactos (a continuación) tuvieron resultados. Por supuesto, puedes esperar que tu propia experiencia varíe.
- MacOS.Sistema.Wifi
- Exchange.MacOS.Aplicaciones.Gusto
- Exchange.MacOS.Aplicaciones.Safari.Historial/Historial
- MacOS.Detection.InstallHistory/Historial de instalación
- Aplicaciones.genéricas.Chrome.SessionStorage
- MacOS.Aplicaciones.Chrome.Historial
- MacOS.Aplicaciones.MRU
- Exchange.MacOS.System.LocationServices
- MacOS.System.Plist
- MacOS.Network.Netstat
- Exchange.MacOS.Sys.BashHistory/Historial
- Exchange.MacOS.Sys.BashHistory/Sesiones
- MacOS.Sys.Pslist
- Usuarios.del.sistema.MacOS
Ahora puedo analizar los resultados de esos 14 que lograron ser recopilados e ingeridos con éxito y comenzar a averiguar poco interesante o extraño. Por ejemplo, mirar la colección de artefactos de Bash History siempre está en el menú (en mi opinión). Este es un atún artefacto ofrecido en el velociraptor Intercambio de artefactos.
Por otra parte, tener una idea de quiénes son los usuarios en un sistema Linux o macOS es útil durante una clasificación.
Pestillo
Este blog se centró en tomar una velociraptor desconectado .CREMALLERA archivo que quizás haya recopilado usted mismo, o tal vez se le haya proporcionado de otra modo, y ampliar el contenido de ese archivo a un velociraptor GUI. Repasamos algunos aspectos destacados de cómo se realiza la capacidad de importación de archivos a través del velociraptor Interfaz de sucesor de oficina y qué averiguar antaño, durante y posteriormente de que se lleve a promontorio el proceso de importación. En este punto, verás otra capacidad que velociraptor ofertas, y cómo puede integrarlo con colecciones fuera de orientación, independientemente del sistema eficaz de destino desde el cual velociraptor El recopilador sin conexión recopiló datos. ¡Gracias por estudiar y buena suerte con la investigación!A
