búsqueda avanzada del bazar de malware

Script para encadenar parámetros de búsqueda para MalwareBazaar

Esta herramienta se puede utilizar para buscar rápidamente muestras en MalwareBazar (MB) ampliando la funcionalidad de la sintaxis de búsqueda predeterminada con -s, --search . Para ello, permite al usuario proporcionar varios filtros en uno, luego extrae los resultados de cada filtro y los compara entre sí. También se puede utilizar para descargar muestras devueltas por una búsqueda con --download-all , o muestras individuales con el parámetro --get-file .

El objetivo de esta herramienta es que sea bastante intuitiva si el operador está familiarizado con la sintaxis de búsqueda de MB.

No se requiere ninguna clave API.

Descargue archivos LNK etiquetados con "CobaltStrike"

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

Descargar hash específico

python.exe .search.py --get-file HASH

• La consulta de búsqueda yara no funciona como se esperaba, por lo que no es compatible.
• La consulta de búsqueda issuer_cn no es compatible debido a nombres comunes que a menudo tienen espacios, lo que rompe la lógica.
• El uso de parámetros extremadamente comunes combinados con otros extremadamente específicos puede provocar la pérdida de resultados. Para validar, basta con utilizar el parámetro específico.
  • es decir, es muy común que una muestra tenga "exe" como etiqueta, y dado que el script solo puede devolver los últimos 1000 resultados, si esta etiqueta se combina con un parámetro muy específico, como el número de serie, no devolverá ningún resultado. incorrectamente

Se recomienda comprender los límites de la API de MB antes de su uso.

https://bazaar.abuse.ch/faq/#api-limit

Mi publicación en Medium sobre la herramienta

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0