他の方の記事を読んでいて先日構築したT-Pot内のDionaeaとVirusTotalを連携できることを知った。 自環境でDionaea⇔VirusTotalをAPI連携した際の覚書を記載する。

目次

1.VirusTotalのAPIキーの取得
2.Dionaeaの設定ファイル(Virustotal.yaml)の新規作成
3.T-Pot内の設定ファイル読み込み
4.動作確認

1.VirusTotalのAPIキーの取得

• VirusTotalのWebサイトにてユーザ登録をする。
• その後、Sign inした状態で右上のユーザ名 →API KeyをクリックするとAPIキーが表示される。 　Access levelがpublicの場合、1日当たり1000リクエストかつ1か月当たり30000リクエストまで割当てられているとのこと。

2.Dionaeaの設定ファイル(Virustotal.yaml)の新規作成

• TeratermなどでVPSサーバへsshログインする。
• rootユーザに変更

$ sudo su -

• TeratermなどでVPSサーバへsshログインする。
• Dionaeaの設定ファイル(virustotal.yaml)を作成する。

# cd /opt/tpot/docker/dionaea/dist/etc/ihandlers  
# vi virustotal.yaml

• 以下の設定内容を書き込む。

- name: virustotal
  config:
    # grab it from your virustotal account at My account -> Inbox -> Public API
    apikey: "<自分のAPI Key>"
    file: "/opt/dionaea/var/dionaea/vtcache.sqlite"

3.T-Pot内の設定ファイル読み込み

• T-Potのサービスを停止する。

# systemctl stop tpot

• T-Pot内の設定ファイル(tpot.yml)を変更する。

# cd /opt/tpot/etc
# vi tpot.yml

• Dionaea Service部分の「volume」に以下の記載を追加する。

/opt/tpot/docker/dionaea/dist/etc/ihandlers/virustotal.yaml:/opt/dionaea/etc/dionaea/ihandlers/virustotal.yaml

• T-Potのサービスを開始する。

# systemctl start tpot

4.動作確認

• dockerのdionaeaコンテナにログインしdionaea.sqliteを確認する。

docker exec -it dionaea /bin/bash

• dionaeaコンテナ内のログが更新されている。

ls -al /opt/dionaea/var/log

• dioaea.sqliteを取得して中身を確認する。

# docker ps
# docker cp <コンテナ名>:/opt/dionaea/var/log/dionaea.sqlite dionaea.sqlite

⇒上手く連携できているようだ。(￣ー￣)ｂｸﾞｯ!

ちなみに

VirusTotalの解析を確認したところ、ほぼWanacryの検体で占められている...
まだまだWanacryの攻撃は活発のようだ。