サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【T-POTの改造】 DionaeaとVirusTotalの連携(完成)

T-POT改造

2018/02/17 1:55 一部誤りが判明したため修正

2018/02/17 17:05 fatsheepさんの情報に基づき、全体を修正

2018/02/17 23:35 fatsheepさんの情報に基づき、一部修正

2018/02/18 00:00 設定完了!

2018/02/18 22:45 fatsheepさんの情報(日付をまたぐと削除されることが判明)に基づき、全体を修正

2018/02/21  0:00 fatsheepさん、teppayさんのご協力のもと、ようやく完成しました。

 

 昨日、私と同じく(私より高レベルに)ハニーポットを運用されているfatsheepさんのブログが更新されていました。

fatsheep.hateblo.jp

この中で、Dionaeaで保全されたファイルの一覧が書かれてあり、興味深く読ませていただいたところ、私も真似したいな…と思い、USBメモリにコピーしてWindowsPCに移したのですが…

当然のことながら、ウィルス対策ソフトが大量に警告を吐き出して、すべて削除されてしまいました。まぁ、常識で考えればそうなりますね…。

 

もう一度記事を読み返してみると、VTAPIで自動調査と書かれていました。いろいろ調べてみたところ、VirusTotalAPIを使用して自動的に結果を取得できるとのこと…これはぜひやりたい!

と、思い、私の環境でも設定してみました。

 

 

VirusTotalAPIキー取得

まずは、VirusTotalAPIキーを取得します。

VirusTotalにログインし、右上のユーザー名が書かれている場所から「My API key」を選択すると、自分のAPIキーが取得できます。

virustotal.yamlの作成

WebTTYを使用して、T-POTにログインします。

管理者権限を取得

 # sudo su -

連携用ファイルの作成

 # cd /opt/tpot/docker/dionaea/dist/etc/ihandlers

 # vi virustotal.yaml

ファイルの内容

 - name: virustotal
   config:
  # grab it from your virustotal account at My account -> Inbox -> Public API
  apikey:"(ご自身のAPI Key)"

  file: "@LOCALESTATEDIR@/dionaea/vtcache.sqlite"

  ( @LOCALESTATEDIR@はご自身の環境に合わせて、pathを指定してください)

dionaeaコンテナの再構築

T-POTのサービス停止

 #systemctl stop tpot

tpot.ymlの設定変更

 # cd /opt/tpot/etc

 # vi tpot.yml

ファイルの内容

 

f:id:tk-secu:20180221002137p:plain

上記画面の通り、dionaeaのvolumeに

 - /opt/tpot/docker/dionaea/dist/etc/ihandlers/virustotal.yaml:/opt/dionaea/etc/dionaea/ihandlers/virustotal.yaml

を追加します。

T-POTのサービス開始

 #systemctl start tpot

 

これでdioaea.sqlite内に、VirusTotalの実行結果が記録されます。

f:id:tk-secu:20180221001121p:plain

f:id:tk-secu:20180221001131p:plain

 

 

一人でハニーポットを見るのもいいですが、いろいろな方と意見交換して(といっても、教わるだけになりそうですが…)スキル向上していきたいですね。

ハニーポッターの森久さんが主宰するハニーポッター技術交流会、オンラインでも視聴できるといいなぁ…

 

もし、チャット等で技術交流会を開催したとしたら、どのくらいの方が参加されるでしょうかね?少し興味がありますね。

 

この記事は、@fatsheepさん、@teppayさんに多大なご支援をいただきました。

fatsheep.hateblo.jp

teppay.hatenablog.com

誠にありがとうございました。