ホーム>プログラミング関連>その他のソースコード
ダウンロード

マルウェア バザールの高度な検索

MalwareBazaar の検索パラメーターをチェーンするスクリプト

使用法

このツールを使用すると、 -s, --searchを使用してデフォルトの検索構文の機能を拡張することにより、MalwareBazar (MB) 内のサンプルを迅速に検索できます。これは、ユーザーが複数のフィルターを 1 つにまとめて指定できるようにすることで実現され、各フィルターの結果を取得して相互参照します。また、 --download-allを使用した検索によって返されたサンプルをダウンロードしたり、 --get-fileスイッチを使用して個々のサンプルをダウンロードしたりするために使用することもできます。

このツールの目標は、オペレータが MB 検索構文に精通している場合に、かなり直感的に操作できるようにすることです。

API キーは必要ありません。

「CobaltStrike」タグが付いた LNK ファイルをダウンロードする

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

特定のハッシュをダウンロードする

python.exe .search.py --get-file HASH

既知の問題

  • yara検索クエリは期待どおりに機能しないため、サポートされていません
  • issuer_cn検索クエリはサポートされていません。一般名にはスペースが含まれることが多く、ロジックが壊れます。
  • 非常に一般的なパラメーターと非常に特殊なパラメーターを組み合わせて使用​​すると、結果が失われる可能性があります。検証するには、特定のパラメーターを使用するだけです。
    • つまり、サンプルのタグとして「exe」が含まれるのは非常に一般的であり、スクリプトは最新の 1000 件の結果しか返せないため、このタグがシリアル番号などの非常に特殊なパラメータと組み合わされると、結果が返されなくなります。間違って

API制限

使用する前に MB API の制限を理解しておくことをお勧めします。

https://bazaar.abuse.ch/faq/#api-limit

ツールショーケース

ツールに関する私の Medium 投稿

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて