سوق البرمجيات الخبيثة البحث المتقدم

البرنامج النصي لسلسلة معلمات البحث لـ MalwareBazaar

يمكن استخدام هذه الأداة للعثور بسرعة على العينات في MalwareBazar (MB) عن طريق توسيع وظيفة بناء جملة البحث الافتراضي باستخدام -s, --search . يقوم بذلك عن طريق السماح للمستخدم بتوفير مرشحات متعددة في مرشح واحد، ثم يسحب نتائج كل مرشح ويقوم بإسنادها إلى بعضها البعض. يمكن استخدامه أيضًا لتنزيل العينات التي يتم إرجاعها عن طريق البحث باستخدام --download-all ، أو العينات الفردية باستخدام مفتاح --get-file .

الهدف من هذه الأداة هو أن تكون بديهية إلى حد ما إذا كان المشغل على دراية بصيغة بحث MB.

لا يوجد مفتاح API مطلوب.

تنزيل ملفات LNK الموسومة بـ "CobaltStrike"

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

تنزيل هاش محدد

python.exe .search.py --get-file HASH

• استعلام بحث yara لا يعمل كما هو متوقع لذا فهو غير مدعوم
• استعلام البحث issuer_cn غير مدعوم للأسماء الشائعة التي غالبًا ما تحتوي على مسافات، مما يؤدي إلى كسر المنطق
• يمكن أن يؤدي استخدام معلمات شائعة للغاية ممزوجة بمعلمات محددة للغاية إلى فقدان النتائج. للتحقق من الصحة، ما عليك سوى استخدام المعلمة المحددة.
  • على سبيل المثال، من الشائع جدًا أن تحتوي العينة على "exe" كعلامة، وبما أن البرنامج النصي يمكنه فقط إرجاع أحدث 1000 نتيجة، إذا تم دمج هذه العلامة مع معلمة محددة جدًا، مثل الرقم التسلسلي، فلن يتم عرض أي نتائج بشكل غير صحيح

يوصى بفهم حدود MB API قبل الاستخدام.

https://bazaar.abuse.ch/faq/#api-limit

مشاركتي المتوسطة حول الأداة

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0