Velociraptorといえば、アーティファクト収集、解析が可能なオープンソースのDFIRツール。

これが攻撃者によって勝手にインストールされ、情報収集に使用されている。

VelociraptorサーバをC2サーバとして利用

VelociraptorをインストールさせてC2の一部として利用する攻撃者は、複数の事例で確認されている。1,2,3,4

VelociraptorはDFIRツールであるために調査に必要なファイルの収集機能がある。この機能を活用すれば、様々なファイル収集が可能となる。その他、システムの情報収集やコマンド実行も可能であるので、C2となり得る機能は十分持っている。

やはり、DFIRツールということで正規のツールとして、動き始めはEDRに検知されにくそうだ。ただし、その後のコマンド実行やファイル操作にてEDRに検知されている模様。

個人的にはDFIRが正規ツールといっても、AutopsyとかFTK Imagerとかをダウンロードしたりインストール時点でこれらを検知するアンチウイルス製品もあるので、EDR回避に効果があるのは場合によりけりなのではと考えている。

それでも、多くの場合はセキュリティ監視回避のために効果がありそう。

悪用されるということは、Velociraptor開発側も認識しているので検知する方法が公式ページで公開されている。