===== Forenzički alat Velociraptor =====

===== Link na video prezentaciju =====

[[https://ferhr-my.sharepoint.com/:v:/g/personal/ml53616_fer_hr/EYUxAwC6tVhBpHBBN3llg6oBfRLb3GULhAU1usoQPcihZw?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=3N1eAq]]
===== Sažetak =====


Velociraptor je forenzički alat koji omogućuje brzo prikupljanje i analizu digitalnih dokaza s udaljenih uređaja u stvarnom vremenu. Njegova klijent-server arhitektura i prilagodljivi Velociraptor Query Language (VQL) čine ga posebno korisnim za otkrivanje prijetnji i provođenje digitalnih istraga unutar složenih mrežnih sustava.

Kroz rad je prikazana tehnička konfiguracija alata, uključujući postavljanje servera i povezivanje klijenata, te demonstracija korištenja VQL upita za prikupljanje podataka s udaljenih uređaja. Naglašena je fleksibilnost Velociraptora u prilagodbi specifičnim potrebama istrage, kao i mogućnost upravljanja velikim brojem povezanih klijenata istovremeno.

Analizirane su prednosti poput prikupljanja podataka u stvarnom vremenu, proaktivnog otkrivanja prijetnji i skalabilnosti alata. Također su razmotreni i nedostaci poput potrebe za naprednim tehničkim znanjem i visoke zahtjevnosti pri pokretanju složenih upita, što može utjecati na performanse sustava.

Zaključno, Velociraptor je moćan alat koji može znatno unaprijediti proces digitalne forenzike, osobito u kontekstu pravovremenog odgovora na sigurnosne incidente. Njegova upotreba omogućuje bržu identifikaciju prijetnji i poboljšava ukupnu sigurnost sustava unutar organizacija koje se suočavaju s izazovima modernih digitalnih prijetnji.








===== Uvod =====

Velociraptor je open-source forenzički alat koji omogućuje brzo prikupljanje i analizu digitalnih dokaza s udaljenih uređaja. Razvijen je kako bi forenzičkim stručnjacima omogućio proaktivno praćenje sustava, lov na prijetnje i brzo reagiranje na sigurnosne incidente. Za razliku od tradicionalnih alata, Velociraptor koristi vlastiti Velociraptor Query Language (VQL), koji pruža fleksibilnost u pretraživanju i analizi podataka.

Cilj ovog rada je predstaviti tehničke specifikacije Velociraptora, analizirati njegove funkcionalnosti, usporediti ga s drugim forenzičkim alatima te prikazati primjer korištenja u forenzičkoj praksi. Fokus je stavljen na mogućnost prikupljanja dokaza u stvarnom vremenu i upravljanje većim brojem uređaja istovremeno, što ovaj alat čini izuzetno korisnim u kontekstu digitalne forenzike.





===== Što je Velociraptor? =====

U digitalnoj forenzici od ključne je važnosti brzo i učinkovito prikupljanje dokaza s udaljenih uređaja kako bi se pravovremeno prepoznale prijetnje i poduzele potrebne mjere. Tradicionalni alati za ovu svrhu često zahtijevaju fizički pristup sustavima, što nije uvijek praktično u stvarnim scenarijima istrage. Upravo zbog tih ograničenja razvijen je Velociraptor, alat koji omogućuje forenzičarima prikupljanje i analizu podataka na daljinu, u stvarnom vremenu.

Velociraptor je zamišljen kao odgovor na sve veće potrebe modernih forenzičkih timova za brzim pristupom ključnim informacijama. Njegova prilagodljiva arhitektura omogućuje povezivanje velikog broja klijenata, a forenzički istražitelji mogu koristiti posebno razvijen jezik upita, poznat kao Velociraptor Query Language (VQL), kako bi precizno definirali koje podatke žele dohvatiti. Ova fleksibilnost čini alat izuzetno korisnim za prilagodbu specifičnim potrebama različitih istraga.

Osim što omogućuje nadzor nad aktivnim procesima, mrežnim vezama i promjenama datoteka na udaljenim računalima, Velociraptor se pokazao kao posebno učinkovit u situacijama kada je potrebno brzo reagirati na sigurnosne incidente. Zahvaljujući svojoj sposobnosti prikupljanja podataka u stvarnom vremenu, ovaj alat daje forenzičarima uvid u stanje sustava bez potrebe za složenim ručnim pregledom svakog uređaja.

Na temelju svojih funkcionalnosti, Velociraptor se sve češće koristi u raznim forenzičkim scenarijima – od jednostavnih analiza pojedinačnih uređaja, do složenih mrežnih istraga unutar velikih organizacija.
===== Tehničke specifikacije Velociraptora =====

Velociraptor koristi klijent-server arhitekturu kako bi omogućio prikupljanje i analizu podataka s udaljenih uređaja. Server upravlja komunikacijom s klijentima, izvršava upite i pohranjuje prikupljene podatke, dok klijent aplikacija radi na udaljenim uređajima i šalje informacije serveru. Takav sustav omogućuje upravljanje velikim brojem uređaja istovremeno, što značajno ubrzava proces digitalne forenzičke analize.

Server može raditi na operativnim sustavima poput Windowsa, Linuxa i macOS-a, a klijenti se također mogu instalirati na različite platforme. Komunikacija između servera i klijenata šifrirana je kako bi se osigurala sigurnost podataka tijekom prijenosa. To je posebno važno u forenzičkim istragama, gdje je integritet podataka ključan za valjanost dokaza.

Jedna od ključnih značajki alata je Velociraptor Query Language (VQL), prilagođeni jezik koji omogućuje precizno pretraživanje podataka na udaljenim uređajima. Pomoću VQL-a forenzički istražitelji mogu definirati upite za dohvaćanje informacija kao što su pokrenuti procesi, otvorene mrežne veze, registry ključevi i datoteke koje su nedavno izmijenjene. Ova fleksibilnost omogućuje brže prepoznavanje prijetnji i sumnjivih aktivnosti, bez potrebe za fizičkim pristupom uređajima.

Velociraptor je prilagođen za rad u složenim mrežnim okruženjima. Njegova skalabilnost omogućuje forenzičarima upravljanje velikim brojem povezanih klijenata istovremeno, bez značajnog utjecaja na performanse servera. Ova značajka je posebno korisna u korporativnim mrežama, gdje je potrebno istovremeno analizirati stotine ili tisuće uređaja.

{{:racfor_wiki:seminari2024:velociraptor-client-server.png?400|}}

**//Slika 1: Shematski prikaz Velociraptor arhitekture s povezivanjem klijenata i administratora putem servera.//**



===== Usporedba s drugim forenzičkim alatima =====

Velociraptor se ističe među forenzičkim alatima zbog svoje fleksibilnosti i mogućnosti prikupljanja podataka u stvarnom vremenu. Iako postoji mnogo alata koji se koriste u digitalnoj forenzici, poput Autopsy, FTK (Forensic Toolkit) i Sleuth Kit, Velociraptor nudi neke jedinstvene značajke koje ga čine pogodnim za specifične scenarije, posebno kada je riječ o analizi velikog broja uređaja unutar mreže.

Jedna od najvećih razlika između Velociraptora i drugih alata jest to što je razvijen kao alat za proaktivnu forenziku. Dok tradicionalni alati često zahtijevaju fizički pristup uređaju ili rad s kopijama diskova, Velociraptor omogućuje udaljeni pristup i prikupljanje podataka u stvarnom vremenu. To ga čini posebno korisnim u korporativnim mrežama, gdje je potrebno brzo identificirati sumnjive aktivnosti na više povezanih uređaja.

U usporedbi s Autopsyjem, koji je jedan od najpoznatijih forenzičkih alata otvorenog koda, Velociraptor se razlikuje u načinu prikupljanja i analize podataka. Autopsy je više orijentiran na analizu diskova i datoteka, dok se Velociraptor koristi za praćenje aktivnosti na sustavu u stvarnom vremenu. Također, Autopsy ima grafičko sučelje koje je prilagođeno početnicima, dok Velociraptor koristi vlastiti upitni jezik (VQL) koji zahtijeva određeno tehničko znanje.

FTK (Forensic Toolkit) je komercijalni alat koji je vrlo popularan u digitalnoj forenzici, a koristi se za dubinsku analizu datoteka, e-mailova i drugih digitalnih dokaza. FTK pruža mnogo automatiziranih funkcionalnosti, ali je zahtjevniji u smislu hardverskih resursa i nema mogućnost prikupljanja podataka u stvarnom vremenu, što Velociraptor omogućuje. Također, FTK je zatvorenog koda i zahtijeva licencu, dok je Velociraptor dostupan besplatno.

Sleuth Kit je još jedan poznati skup forenzičkih alata koji omogućuje analizu datotečnih sustava, ali, kao i Autopsy, fokusira se na analizu statičkih podataka. Velociraptor se, s druge strane, fokusira na dinamičke podatke, poput pokrenutih procesa i mrežnih veza, što ga čini pogodnim za situacije gdje je potrebna brza reakcija na sigurnosne incidente.

Jedna od ključnih prednosti Velociraptora u usporedbi s ovim alatima je njegova skalabilnost. Zahvaljujući klijent-server arhitekturi, može se koristiti za upravljanje velikim brojem uređaja istovremeno, dok tradicionalni alati obično analiziraju jedan uređaj u određenom trenutku. Ovo ga čini pogodnim za incident response timove koji rade u kompleksnim mrežnim okruženjima i trebaju brzo prepoznati sumnjive aktivnosti.

Međutim, postoji i nekoliko nedostataka Velociraptora u odnosu na druge alate. Za razliku od Autopsyja i FTK-a, Velociraptor nema grafičko sučelje, što može biti prepreka za korisnike koji nisu naviknuti na rad s upitnim jezicima. Također, Velociraptor zahtijeva napredno tehničko znanje kako bi se iskoristio njegov puni potencijal, dok su neki drugi alati prilagođeni širem krugu korisnika.

Zaključno, Velociraptor je posebno koristan u situacijama gdje je potrebno prikupljati podatke u stvarnom vremenu i upravljati većim brojem uređaja, dok su Autopsy, FTK i Sleuth Kit prikladniji za dubinsku analizu statičkih podataka. Ovisno o specifičnim potrebama istrage, forenzičari mogu koristiti jedan ili više ovih alata u kombinaciji kako bi dobili što bolje rezultate.
===== Primjena Velociraptora u forenzičkoj praksi =====


Praktična primjena Velociraptora započinje postavljanjem servera i povezivanjem klijenata koji omogućuju prikupljanje podataka za digitalnu forenzičku analizu. U ovom dijelu opisani su potrebni koraci za inicijalnu konfiguraciju alata, pokretanje servera, dodavanje klijenta te pokretanje ključnih forenzičkih upita pomoću Velociraptor Query Language (VQL).

Prvi korak u korištenju Velociraptora je generiranje potrebnih konfiguracijskih datoteka. Za to se koristi naredba:


<code>
velociraptor.exe config generate -i
</code>

Ova naredba pokreće interaktivni vodič koji omogućuje unos postavki za konfiguraciju servera. Tijekom ovog procesa unose se osnovne postavke kao što su port koji će server koristiti, administratorski korisnički račun te putanje do certifikata potrebnih za sigurno povezivanje. Na temelju unesenih podataka generiraju se dvije ključne konfiguracijske datoteke: server.config.yaml i client.config.yaml.

Nakon što su konfiguracijske datoteke uspješno generirane, potrebno je pokrenuti Velociraptor server. Server se pokreće pomoću sljedeće naredbe:

<code>
velociraptor.exe --config server.config.yaml frontend -v
</code>

Ova naredba koristi postavke definirane u datoteci server.config.yaml i omogućuje pristup Velociraptor web sučelju putem preglednika na adresi https://localhost:8889.

Na slici 2. prikazano je početno sučelje Velociraptora koje se otvara nakon uspješne prijave. Sučelje nudi razne opcije, poput inspekcije stanja servera, kreiranja offline kolektora, pisanja VQL upita i konfiguracije postavki servera.

{{:racfor_wiki:seminari2024:velociraptor_main_page_final.png?400}}

**//Slika 2: Početno sučelje Velociraptora.//**

Za povezivanje klijenta sa serverom koristi se konfiguracijska datoteka client.config.yaml, koja sadrži potrebne informacije za uspostavljanje sigurne veze. Klijent se može pokrenuti pomoću naredbe:

<code>
velociraptor.exe --config client.config.yaml client -v
</code>

Također, klijent se može instalirati kao servis na sustavu kako bi se automatski pokretao prilikom podizanja sustava. Instalacija se vrši naredbom:

<code>
velociraptor.exe --config client.config.yaml service install
</code>

Nakon uspješnog povezivanja klijenta, status povezanosti može se provjeriti putem Velociraptor web sučelja. Na slici 3. prikazan je popis povezanih klijenata. U tablici su vidljivi osnovni podaci o klijentu, kao što su njegov identifikator (Client ID), naziv računala (Hostname) i verzija operativnog sustava (OS Version). Status klijenta označen je zelenom točkom koja pokazuje da je klijent uspješno povezan sa serverom.

{{:racfor_wiki:seminari2024:velociraptor_clients_list_final.png?400}}

**//Slika 3: Popis povezanih klijenata.//**


Nakon povezivanja klijenta, moguće je pokretati VQL upite kako bi se prikupili podaci s udaljenog uređaja. Pokretanjem VQL upita forenzički stručnjaci mogu brzo analizirati procese, mrežne aktivnosti i izmjene na sustavu, što je ključno za otkrivanje sumnjivih aktivnosti u stvarnom vremenu.

Primjer VQL upita koji je pokrenut prikazan je na slici 4. U Shell sučelju unesen je sljedeći upit:

<code>
SELECT pid, name, command_line
FROM pslist()
</code>

{{:racfor_wiki:seminari2024:velociraptor_query_example_final.png?400}}

**//Slika 4: Shell sučelje za unos VQL upita.//**

Ovaj upit omogućuje dohvaćanje popisa svih trenutno pokrenutih procesa na klijentu, uključujući njihov identifikator (PID), ime i naredbu kojom su pokrenuti. Rezultati upita prikazani su na slici 5. Tablica s rezultatima prikazuje informacije o procesima koji su trenutno aktivni na sustavu, uključujući procese poput System, Registry, csrss.exe, wininit.exe i druge. Svaka stavka u tablici daje uvid u ključne procese na računalu te omogućuje daljnju analizu njihovog ponašanja.

{{:racfor_wiki:seminari2024:velociraptor_sql_final.png?400}}

**//Slika 5: Prikaz rezultata VQL upita.//**

Praktična primjena Velociraptora uključuje jednostavne korake za postavljanje servera i povezivanje udaljenih klijenata, čime se omogućuje prikupljanje i analiza digitalnih podataka u stvarnom vremenu. Korištenjem VQL upita forenzički istražitelji mogu brzo dobiti uvid u stanje sustava, analizirati pokrenute procese te prepoznati potencijalno sumnjive aktivnosti koje mogu biti ključne za daljnju istragu.
===== Prednosti i nedostaci Velociraptora =====

Velociraptor, kao alat za digitalnu forenziku, nudi brojne funkcionalnosti koje olakšavaju prikupljanje i analizu podataka s udaljenih uređaja. Njegova primjena donosi mnoge prednosti, osobito u kontekstu istraga koje zahtijevaju brzu reakciju i analizu u stvarnom vremenu. Ipak, kao i svaki forenzički alat, Velociraptor ima određena ograničenja koja treba uzeti u obzir prilikom njegova korištenja.

U nastavku su analizirane ključne **prednosti** i **nedostaci** Velociraptora kako bi se bolje razumjela njegova praktična primjena u digitalnoj forenzici.

=== Prednosti Velociraptora ===

  * **Prikupljanje podataka u stvarnom vremenu** – Alat omogućuje forenzičarima prikupljanje podataka s udaljenih uređaja u stvarnom vremenu, bez potrebe za fizičkim pristupom sustavu, što značajno ubrzava istrage.
  * **Prilagodljivost putem VQL-a** – Zahvaljujući Velociraptor Query Language (VQL), moguće je kreirati prilagođene upite za specifične potrebe, čime se poboljšava učinkovitost analize.
  * **Podrška za rad u složenim mrežnim okruženjima** – Velociraptorova klijent-server arhitektura omogućuje upravljanje velikim brojem povezanih uređaja istovremeno, što je korisno za korporativne mreže i velike organizacije.

=== Nedostaci Velociraptora ===

  * **Kompleksnost za početnike** – Alat zahtijeva napredno tehničko znanje, posebno pri korištenju VQL-a i rada u komandnoj liniji, što može biti prepreka korisnicima bez iskustva u digitalnoj forenzici.
  * **Ograničena dokumentacija i podrška** – Iako je dostupna osnovna dokumentacija, korisnicima može biti potrebno dodatno istraživanje kako bi u potpunosti savladali sve funkcionalnosti Velociraptora.
  * **Visoki zahtjevi za resurse** – Pri pokretanju složenih upita i upravljanju velikim brojem klijenata, alat može zahtijevati značajne resurse servera, što može utjecati na performanse sustava.

===== Zaključak =====


Velociraptor je iznimno koristan alat u digitalnoj forenzici, posebno u situacijama koje zahtijevaju brzo prikupljanje i analizu podataka s udaljenih uređaja. Njegova prilagodljivost putem Velociraptor Query Language (VQL) i mogućnost upravljanja velikim brojem povezanih klijenata čine ga pogodnim za složena mrežna okruženja, osobito u većim organizacijama.

Prikupljanje podataka u stvarnom vremenu predstavlja veliku prednost ovog alata jer omogućuje forenzičarima brzo prepoznavanje prijetnji i ubrzava tijek istrage. Zahvaljujući klijent-server arhitekturi, moguće je centralizirano upravljati velikim brojem povezanih uređaja bez potrebe za fizičkim pristupom svakom pojedinom računalu.

Unatoč brojnim prednostima, Velociraptor ima i neka ograničenja. Zahtijeva napredno tehničko znanje, posebno pri pisanju VQL upita, što može predstavljati izazov korisnicima bez prethodnog iskustva. Također, alat ima visoke zahtjeve za resursima prilikom upravljanja velikim brojem klijenata i pokretanja složenih upita. Iako je osnovna dokumentacija dostupna, korisnici često moraju samostalno istraživati kako bi u potpunosti savladali sve funkcionalnosti alata.

Sve u svemu, prednosti Velociraptora znatno nadmašuju njegove nedostatke. Omogućuje forenzičarima uvid u stanje sustava u stvarnom vremenu, čime značajno poboljšava učinkovitost istraga i sposobnost organizacija da odgovore na sigurnosne incidente. Pravilnom primjenom i prilagodbom alata, Velociraptor može postati ključni alat za provođenje digitalnih istraga u suvremenim organizacijama. Njegova primjena omogućuje brzu reakciju na potencijalne prijetnje, što je danas presudno u području računalne forenzike.

===== Literatura =====

[1] [[https://docs.velociraptor.app/]]

[2] [[https://github.com/Velocidex/velociraptor]]

[3] [[https://docs.velociraptor.app/blog/]]

[4] [[https://www.cyberengage.org/post/exploring-velociraptor-a-versatile-tool-for-incident-response-and-digital-forensics]]

[5] [[https://www.pentestpartners.com/security-blog/using-velociraptor-for-large-scale-endpoint-visibility-and-rapid-threat-hunting]]

[6] [[https://www.admin-magazine.com/Archive/2021/64/Forensic-analysis-with-Autopsy-and-Sleuth-Kit]]

[7] [[https://www.infosecinstitute.com/resources/digital-forensics/comparison-popular-computer-forensics-tools]]

[8] [[https://cyberinsight.co/what-is-the-difference-between-ftk-and-autopsy]]

[9] [[https://www.autopsy.com]]