Integración Wazuh con VirusTotal: Análisis Automático de Malware

Introducción

FIM (File Integrity Monitoring) detecta archivos nuevos o modificados, pero no sabe si son maliciosos. VirusTotal analiza hashes contra más de 70 motores antivirus. Al integrarlos, Wazuh envía automáticamente cada archivo sospechoso a VirusTotal y recibes alertas directamente en el dashboard.

Límites de la API gratuita

Antes de configurar, conoce los límites porque condicionan qué directorios vigilar:

• 4 peticiones/minuto
• 500 peticiones/día

Si vigilas demasiados directorios con mucho movimiento, agotarás el límite en horas. La solución: ser quirúrgicos con qué directorios envían a VirusTotal usando el atributo report_changes.

API Premium: Desde octubre 2025, el plan Lite parte desde $5.000/año. Para laboratorios y entornos medianos, la API gratuita es suficiente bien configurada.

Paso 1: Obtener la API Key

1. Entra en virustotal.com
2. Crea cuenta gratuita si no tienes
3. Haz clic en tu avatar → API key
4. Copia la clave

Paso 2: Configurar la integración en el Manager

Edita el fichero de configuración del servidor Wazuh:

nano /var/ossec/etc/ossec.conf

Añade este bloque antes del cierre </ossec_config>:

<integration>
  <name>virustotal</name>
  <api_key>TU_API_KEY_AQUI</api_key>
  <rule_id>550,554</rule_id>
  <alert_format>json</alert_format>
</integration>

Explicación:

• rule_id 550: Archivo nuevo detectado por FIM
• rule_id 554: Archivo modificado
• Cada vez que FIM detecte algo en un directorio vigilado, enviará el hash SHA256 a VirusTotal

Reinicia el manager:

systemctl restart wazuh-manager
systemctl status wazuh-manager

Verifica el log de integraciones:

tail -f /var/ossec/logs/integrations.log

Paso 3: Configurar FIM en el Agente

En el agente, edita /var/ossec/etc/ossec.conf y configura qué directorios vigila FIM. Solo los directorios con report_changes="yes" enviarán hashes a VirusTotal:

<syscheck>
  <!-- Escaneo completo una vez al día -->
  <frequency>86400</frequency>
  <scan_on_start>yes</scan_on_start>

  <!-- Directorios de RIESGO: vigilados CON VirusTotal -->
  <directories realtime="yes" check_all="yes" report_changes="yes">/tmp</directories>
  <directories realtime="yes" check_all="yes" report_changes="yes">/root</directories>
</syscheck>

Lógica:

• /tmp, /root: Donde típicamente aparece malware → sí VirusTotal
• /etc, /bin: Cambios de sistema, no malware → FIM normal, sin VirusTotal

Reinicia el agente:

systemctl restart wazuh-agent

Paso 4: Probar con fichero EICAR

El EICAR test file es un estándar para probar antivirus sin malware real. Todos los motores lo detectan como malicioso intencionalmente.

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /tmp/eicar_test.txt

FIM detecta el archivo nuevo → dispara regla 550 → envía hash a VirusTotal → recibes alerta.

En 30-60 segundos, ve al dashboard: Endpoint Security → Malware Detection

Verás:

• Rule ID: 87105 (VirusTotal: Alert)
• File: /tmp/eicar_test.txt
• Positives: Número de motores que lo detectaron
• Permalink: Enlace directo al análisis en virustotal.com

Limpia después de la prueba:

rm /tmp/eicar_test.txt

Resumen

Próximos pasos

En el curso de Wazuh cubrimos más integraciones como Slack, TheHive y respuestas activas automatizadas. Accede al curso completo.