ハニーポット構築(Dionaea⇔VirusTotalのAPI連携)
他の方の記事を読んでいて先日構築したT-Pot内のDionaeaとVirusTotalを連携できることを知った。 自環境でDionaea⇔VirusTotalをAPI連携した際の覚書を記載する。
目次
1.VirusTotalのAPIキーの取得
2.Dionaeaの設定ファイル(Virustotal.yaml)の新規作成
3.T-Pot内の設定ファイル読み込み
4.動作確認
1.VirusTotalのAPIキーの取得
- VirusTotalのWebサイトにてユーザ登録をする。
- その後、Sign inした状態で右上のユーザ名 →API KeyをクリックするとAPIキーが表示される。 Access levelがpublicの場合、1日当たり1000リクエストかつ1か月当たり30000リクエストまで割当てられているとのこと。
2.Dionaeaの設定ファイル(Virustotal.yaml)の新規作成
$ sudo su -
- TeratermなどでVPSサーバへsshログインする。
- Dionaeaの設定ファイル(virustotal.yaml)を作成する。
# cd /opt/tpot/docker/dionaea/dist/etc/ihandlers # vi virustotal.yaml
- 以下の設定内容を書き込む。
- name: virustotal config: # grab it from your virustotal account at My account -> Inbox -> Public API apikey: "<自分のAPI Key>" file: "/opt/dionaea/var/dionaea/vtcache.sqlite"
3.T-Pot内の設定ファイル読み込み
- T-Potのサービスを停止する。
# systemctl stop tpot
- T-Pot内の設定ファイル(tpot.yml)を変更する。
# cd /opt/tpot/etc # vi tpot.yml
- Dionaea Service部分の「volume」に以下の記載を追加する。
/opt/tpot/docker/dionaea/dist/etc/ihandlers/virustotal.yaml:/opt/dionaea/etc/dionaea/ihandlers/virustotal.yaml
- T-Potのサービスを開始する。
# systemctl start tpot
4.動作確認
- dockerのdionaeaコンテナにログインしdionaea.sqliteを確認する。
docker exec -it dionaea /bin/bash
- dionaeaコンテナ内のログが更新されている。
ls -al /opt/dionaea/var/log
- dioaea.sqliteを取得して中身を確認する。
# docker ps
# docker cp <コンテナ名>:/opt/dionaea/var/log/dionaea.sqlite dionaea.sqlite
⇒上手く連携できているようだ。( ̄ー ̄)bグッ!
ちなみに
VirusTotalの解析を確認したところ、ほぼWanacryの検体で占められている...
まだまだWanacryの攻撃は活発のようだ。