Erweiterte Suche im Malware-Basar

Skript zur Verkettung von Suchparametern für MalwareBazaar

Mit diesem Tool können Sie schnell Beispiele in MalwareBazar (MB) finden, indem Sie die Funktionalität der Standardsuchsyntax um -s, --search erweitern. Dies geschieht dadurch, dass der Benutzer mehrere Filter in einem bereitstellen kann, dann die Ergebnisse jedes Filters abruft und sie miteinander vergleicht. Es kann auch zum Herunterladen von Beispielen verwendet werden, die von einer Suche mit --download-all zurückgegeben wurden, oder einzelner Beispiele mit dem Schalter --get-file .

Das Ziel dieses Tools besteht darin, dass es ziemlich intuitiv ist, wenn der Bediener mit der MB-Suchsyntax vertraut ist.

Es ist kein API-Schlüssel erforderlich.

Laden Sie LNK-Dateien mit dem Tag „CobaltStrike“ herunter

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

Laden Sie Spezifischen Hash herunter

python.exe .search.py --get-file HASH

• yara -Suchanfrage funktioniert nicht wie erwartet und wird daher nicht unterstützt
• Die Suchabfrage issuer_cn wird nicht unterstützt, da gebräuchliche Namen häufig Leerzeichen enthalten, was die Logik bricht
• Die Verwendung äußerst häufiger Parameter in Kombination mit äußerst spezifischen Parametern kann zu fehlenden Ergebnissen führen. Zur Validierung verwenden Sie einfach den spezifischen Parameter.
  • Das heißt, es kommt sehr häufig vor, dass ein Beispiel „exe“ als Tag hat, und da das Skript nur die letzten 1000 Ergebnisse zurückgeben kann, wird es, wenn dieses Tag mit einem ganz bestimmten Parameter, wie z. B. einer Seriennummer, kombiniert wird, keine Ergebnisse zurückgeben falsch

Es wird empfohlen, vor der Verwendung die MB-API-Grenzwerte zu verstehen.

https://bazaar.abuse.ch/faq/#api-limit

Mein mittlerer Beitrag über das Tool

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0