Curiosidades De Hackers
CSIRTDFIRForense Digital

Velociraptor en DFIR & CSIRT: visibilidad, velocidad y control absoluto



En el ecosistema moderno de la ciberseguridad, la velocidad es la diferencia entre contener un incidente o protagonizar un informe de brecha.
Mientras los atacantes automatizan cada etapa del compromiso, los equipos DFIR (Digital Forensics & Incident Response) y CSIRT (Computer Security Incident Response Team) necesitan plataformas de recolección, correlación y respuesta centralizada.

En este contexto, Velociraptor emerge como un proyecto open-source que democratiza el análisis forense a escala: rápido, transparente y totalmente auditable.


🧩 Qué es Velociraptor y por qué importa

Desarrollado por Velocidex, Velociraptor es una herramienta diseñada para la recolección forense, monitoreo y hunting remoto en múltiples plataformas (Windows, Linux y macOS).
A diferencia de herramientas monolíticas o cerradas, Velociraptor usa un lenguaje de consultas propio (VQL) que permite definir artefactos personalizados, correlacionar eventos y ejecutar acciones sin romper la cadena de custodia.

Su arquitectura cliente-servidor facilita un despliegue rápido y escalable: el servidor central administra artefactos, tareas y resultados, mientras los agentes (clientes) ejecutan las consultas de forma segura en los endpoints.


🧪 Laboratorio DFIR: despliegue de entorno cliente-servidor

Para este laboratorio práctico se utilizó:

  • 🧠 Velociraptor 0.75.2 (Windows build)
  • 💻 Servidor en localhost (127.0.0.1:8889)
  • 🧩 Cliente Windows 10 Pro 22H2
  • 🔒 Conexión segura TLS con configuración YAML personalizada

🦎 1️⃣ Bienvenida al panel del servidor

La consola web es el punto central de operaciones DFIR: desde aquí se crean artefactos, se orquestan hunts, se visualizan agentes y se auditan acciones.

📸 Figura 1 – Pantalla de bienvenida del servidor Velociraptor

El panel izquierdo concentra la navegación principal: dashboard, artefactos, hunts, administración, configuración y logs del servidor.


⚙️ 2️⃣ Inicialización del servidor backend

El backend es el corazón del sistema: gestiona artefactos, almacenamiento, usuarios, API y conexión con los clientes.

📸 Figura 2 – Servidor Velociraptor inicializando servicios principales

Cada módulo (Frontend, API, Audit, Scheduler, UserManager) se inicia independientemente, garantizando estabilidad y resiliencia.


💡 3️⃣ Configuración del cliente Windows

El cliente se ejecuta con su archivo client.config.yaml, que contiene certificados, rutas y el endpoint del servidor.

📸 Figura 3 – Cliente Velociraptor conectando al servidor

Una vez en ejecución, el cliente crea su espacio temporal, inicia los servicios y establece la comunicación cifrada con el servidor.


📈 4️⃣ Dashboard: visibilidad y telemetría

El servidor comienza a reflejar en el dashboard la llegada de los primeros clientes.

📸 Figura 4 – Gráficas de estado del servidor y detección de clientes activos

A la derecha, el gráfico “Currently Connected Clients” muestra en tiempo real los agentes comunicándose con el servidor.


🧭 5️⃣ Listado y verificación de clientes

Una vez conectado, el cliente aparece en la tabla de endpoints administrados.

📸 Figura 5 – Cliente Windows detectado por el servidor

Cada endpoint incluye:

  • ID único
  • Hostname
  • Sistema operativo y versión
  • Estado de conexión

📸 Figura 6 – Detalle del cliente conectado con metadatos forenses

Esto permite validar arquitectura, IP, MAC y versión del agente — imprescindible para la trazabilidad forense.


🧠 6️⃣ Ejecución remota de comandos

Velociraptor permite lanzar comandos o scripts sin acceso directo al endpoint.
En este caso, ejecutamos netstat -anob vía PowerShell para listar conexiones activas y procesos asociados.

📸 Figura 7 – Ejecución remota de PowerShell desde el panel de Velociraptor

📸 Figura 8 – Resultados de conexiones activas obtenidos desde el cliente

El resultado muestra procesos (svchost.exe, velociraptor.exe, etc.) con sus puertos y PID, lo que permite correlacionar tráfico de red con actividad en memoria en vivo.


🎯 7️⃣ Creando un “Hunt” forense: Process Hunt

Los Hunts son operaciones paralelas que ejecutan artefactos sobre múltiples sistemas al mismo tiempo.
Aquí se creó un Process Hunt para mapear el árbol de procesos activos.

📸 Figura 9 – Configuración del nuevo Hunt “Process Hunt”

El hunt se configuró para ejecutarse sobre todos los clientes conocidos, con expiración programada y artefacto Generic.System.Pstree.

📸 Figura 10 – Selección del artefacto VQL Generic.System.Pstree

Este artefacto genera un árbol jerárquico de procesos, permitiendo identificar relaciones sospechosas (por ejemplo, un PowerShell hijo de Word o un navegador lanzando scripts no firmados).


🧩 8️⃣ Lanzando y gestionando el Hunt

Una vez configurado, el Hunt puede pausarse o iniciarse desde la interfaz.

📸 Figura 11 – Ejecución del Hunt desde el panel de control

El estado “PAUSED” indica que el hunt está listo. Al presionar ▶️, Velociraptor despliega las consultas a todos los clientes objetivo.


📁 9️⃣ Descarga y validación de resultados

Tras la ejecución, los resultados pueden descargarse en distintos formatos: completo, resumen, CSV o JSON.

📸 Figura 12 – Descarga de resultados del Hunt con opciones de exportación

Esto garantiza compatibilidad con herramientas de análisis adicionales (Excel, ELK, Splunk, etc.), manteniendo siempre un hash SHA-256 para asegurar la integridad de los datos exportados.

📸 Figura 13 – Resultados CSV del Hunt Generic.System.Pstree

En la muestra se observan procesos como svchost.exe, msegdewebview2.exe y velociraptor.exe, junto a su jerarquía y contexto temporal.
Esta trazabilidad permite reconstruir líneas de ejecución, detectar herencias anómalas y aislar actividades maliciosas persistentes.


🛡️ 10️⃣ Beneficios operativos para DFIR y CSIRT

Velociraptor ofrece ventajas tácticas y estratégicas:

  • MTTD/MTTR reducidos — detección y respuesta en minutos.
  • 📂 Evidencia auditable y verificable — cada artefacto tiene hash y metadatos.
  • 🧠 Hunting repetible y versionado — con VQL, tus consultas se convierten en código reutilizable.
  • 🧩 Integración fluida con SIEM/SOAR — puede activar hunts en base a alertas o eventos correlacionados.

🔧 Buenas prácticas de implementación

  1. Define artefactos base por MITRE ATT&CK.
    Crea plantillas alineadas a TTPs para cada vector (persistencia, ejecución, exfiltración).
  2. Integra con tu pipeline de alertas.
    Usa Velociraptor como backend de validación o respuesta automática.
  3. Asegura los accesos.
    Gestiona roles, auditoría, cifrado TLS y retención de evidencias.
  4. Prueba antes de desplegar masivamente.
    Usa entornos de staging para evitar sobrecargar endpoints.

📊 Resultados del laboratorio

  • 🚀 Visibilidad total sobre los procesos, conexiones y metadatos del cliente.
  • ⏱️ Reducción del tiempo de respuesta ante un potencial compromiso.
  • 📜 Recolección estructurada de evidencia con integridad verificable.
  • ♻️ Playbooks reutilizables para futuras investigaciones.

🔚 Conclusión

Velociraptor no es solo una herramienta, es un marco operativo de visibilidad total.
Combina la filosofía open-source con la precisión del análisis forense y la agilidad de respuesta de un CSIRT moderno.

Su transparencia (VQL), su auditabilidad y su potencia en escala lo convierten en un pilar esencial para estrategias DFIR del futuro.

“Velociraptor devuelve el poder al analista: control total, ejecución remota y evidencia verificable.”



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *