recherche avancée du bazar des logiciels malveillants

Script pour enchaîner les paramètres de recherche pour MalwareBazaar

Cet outil peut être utilisé pour trouver rapidement des échantillons dans MalwareBazar (MB) en étendant la fonctionnalité de la syntaxe de recherche par défaut avec -s, --search . Pour ce faire, il permet à l'utilisateur de fournir plusieurs filtres en un seul, puis d'extraire les résultats de chaque filtre et de les référencer les uns aux autres. Il peut également être utilisé pour télécharger des échantillons renvoyés par une recherche avec --download-all , ou des échantillons individuels avec le commutateur --get-file .

Le but de cet outil est qu'il soit assez intuitif si l'opérateur est familier avec la syntaxe de recherche MB.

Aucune clé API n'est requise.

Téléchargez les fichiers LNK taggés avec "CobaltStrike"

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

Télécharger un hachage spécifique

python.exe .search.py --get-file HASH

• La requête de recherche yara ne fonctionne pas comme prévu et n'est donc pas prise en charge
• La requête de recherche issuer_cn n'est pas prise en charge, car les noms communs comportent souvent des espaces, ce qui brise la logique.
• L’utilisation de paramètres extrêmement courants mélangés à des paramètres extrêmement spécifiques peut entraîner des résultats manqués. Pour valider, utilisez simplement le paramètre spécifique.
  • c'est-à-dire qu'il est très courant qu'un échantillon ait "exe" comme balise, et comme le script ne peut renvoyer que les 1000 derniers résultats, si cette balise est combinée avec un paramètre très spécifique, comme le numéro de série, il ne renverra aucun résultat. incorrectement

Il est recommandé de comprendre les limites de l'API MB avant utilisation.

https://bazaar.abuse.ch/faq/#api-limit

Mon article Medium sur l'outil

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0