|
07.01.2026
10:30 Uhr
|
Das vielseitige Open-Source-Tool Velociraptor sammelt und analysiert Daten, spürt verdächtige Aktivitäten auf und dokumentiert die Ergebnisse.
Velociraptor ist ein vielseitiges Open-Source-Werkzeug für Endpoint-Forensik, Incident Response und Threat Hunting. Grundlage ist die Velociraptor Query Language (VQL), mit der sich flexibel Artefakte definieren und Daten abrufen lassen. Das Tool erlaubt die schnelle, parallele und zuverlässige Analyse von Systemen und eignet sich sowohl für kleine als auch für sehr große IT-Umgebungen. Der Artikel stellt Velociraptor am Beispiel der Schadsoftware brbbot.exe vor: von der Datensammlung über forensische Analyse und Threat Hunting bis hin zum Monitoring und der Dokumentation der Ergebnisse.
Velociraptor läuft plattformübergreifend und lässt sich in drei Modi betreiben. Im Client-Server-Modus verwaltet ein zentraler Server die Endpoints, die verschlüsselt über HTTPS angebunden sind. Das stellt die typische Variante für größere Umgebungen dar. Als Stand-alone-Variante läuft der Agent lokal auf einem Endpoint, ohne dass ein Server erforderlich ist – was sich besonders für Ad-hoc-Analysen eignet. Als dritte Variante gibt es den Offline Collector, der Daten ohne dauerhafte Installation sammelt. Diese Variante kann man auch über vorhandene Fernverwaltungs- oder EDR-Software (Endpoint Detection and Response) starten.
Darüber hinaus berücksichtigt Velociraptor eine mandantenfähige Architektur, die Daten und Berechtigungen strikt trennt. Dadurch sind mehrere Fälle und verschiedene Organisationen parallel bearbeitbar, ohne dass Informationen vermischt werden. Besonders für Dienstleister und Incident-Response-Teams, die mehrere Kundenumgebungen gleichzeitig betreuen, ist diese Funktionsweise entscheidend.