pencarian lanjutan pasar malware

Skrip untuk merangkai parameter pencarian untuk MalwareBazaar

Alat ini dapat digunakan untuk menemukan sampel dengan cepat di MalwareBazar (MB) dengan memperluas fungsionalitas sintaks pencarian default dengan -s, --search . Hal ini dilakukan dengan mengizinkan pengguna untuk menyediakan beberapa filter dalam satu filter, lalu mengambil hasil dari setiap filter dan melakukan referensi silang satu sama lain. Ini juga dapat digunakan untuk mengunduh sampel yang dikembalikan melalui pencarian dengan --download-all , atau sampel individual dengan sakelar --get-file .

Tujuan dari alat ini adalah agar menjadi cukup intuitif jika operator terbiasa dengan sintaks pencarian MB.

Tidak diperlukan kunci API.

Unduh file LNK yang diberi tag "CobaltStrike"

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

Unduh Hash Tertentu

python.exe .search.py --get-file HASH

• permintaan pencarian yara tidak berfungsi seperti yang diharapkan sehingga tidak didukung
• permintaan pencarian issuer_cn tidak didukung karena nama umum sering kali memiliki spasi, sehingga melanggar logika
• Menggunakan parameter yang sangat umum dan dicampur dengan parameter yang sangat spesifik dapat menyebabkan hasil yang terlewat. Untuk memvalidasi, cukup gunakan parameter tertentu.
  • yaitu sangat umum untuk sampel memiliki "exe" sebagai tag, dan karena skrip hanya dapat mengembalikan 1000 hasil terbaru, jika tag ini digabungkan dengan parameter yang sangat spesifik, seperti nomor seri, maka akan seperti tidak ada hasil. salah

Disarankan untuk memahami batasan MB API sebelum digunakan.

https://bazaar.abuse.ch/faq/#api-limit

Postingan Medium saya tentang alat ini

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0