Script para encadear parâmetros de pesquisa para MalwareBazaar
Esta ferramenta pode ser usada para encontrar amostras rapidamente no MalwareBazar (MB), estendendo a funcionalidade da sintaxe de pesquisa padrão com -s, --search
. Ele faz isso permitindo que o usuário forneça vários filtros em um, depois extraia os resultados de cada filtro e faça referência cruzada entre eles. Também pode ser usado para baixar amostras retornadas por uma pesquisa com --download-all
ou amostras individuais com a opção --get-file
.
O objetivo desta ferramenta é que ela seja bastante intuitiva se o operador estiver familiarizado com a sintaxe de pesquisa MB.
Nenhuma chave de API é necessária.
Baixe arquivos LNK marcados com "CobaltStrike"
python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all
Baixar hash específico
python.exe .search.py --get-file HASH
yara
não funciona conforme o esperado, por isso não é suportadaissuer_cn
não é suportada devido a nomes comuns que geralmente contêm espaços, quebrando a lógicaRecomenda-se compreender os limites da API MB antes de usar.
https://bazaar.abuse.ch/faq/#api-limit
Minha postagem no Medium sobre a ferramenta
https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0