악성 코드 시장 고급 검색

MalwareBazaar에 대한 검색 매개변수를 연결하는 스크립트

이 도구는 -s, --search 사용하여 기본 검색 구문의 기능을 확장하여 MalwareBazar(MB)에서 샘플을 빠르게 찾는 데 사용할 수 있습니다. 이는 사용자가 여러 필터를 하나로 제공한 다음 각 필터의 ​​결과를 가져와 서로 상호 참조함으로써 이를 수행합니다. --download-all 사용하여 검색에서 반환된 샘플을 다운로드하거나 --get-file 스위치를 사용하여 개별 샘플을 다운로드하는 데에도 사용할 수 있습니다.

이 도구의 목표는 운영자가 MB 검색 구문에 익숙할 경우 매우 직관적이게 하는 것입니다.

API 키가 필요하지 않습니다.

"CobaltStrike" 태그가 붙은 LNK 파일 다운로드

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

특정 해시 다운로드

python.exe .search.py --get-file HASH

• yara 검색어가 예상대로 작동하지 않아 지원되지 않습니다.
• issuer_cn 검색 쿼리는 종종 공백이 있는 일반 이름에 대해 지원되지 않으므로 논리가 깨집니다.
• 매우 일반적인 매개변수와 매우 구체적인 매개변수를 혼합하여 사용하면 결과가 누락될 수 있습니다. 유효성을 검사하려면 특정 매개변수를 사용하면 됩니다.
  • 즉, 샘플이 "exe"를 태그로 갖는 것이 매우 일반적이며 스크립트는 최신 1000개의 결과만 반환할 수 있으므로 이 태그가 일련 번호와 같은 매우 구체적인 매개 변수와 결합되면 결과가 반환되지 않습니다. 틀리게

사용하기 전에 MB API 제한을 이해하는 것이 좋습니다.

https://bazaar.abuse.ch/faq/#api-limit

도구에 대한 내 매체 게시물

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0