расширенный поиск на базаре вредоносного ПО

Скрипт для связывания параметров поиска для MalwareBazaar

Этот инструмент можно использовать для быстрого поиска образцов в MalwareBazar (MB) путем расширения функциональности синтаксиса поиска по умолчанию с помощью -s, --search . Это достигается за счет того, что пользователь может использовать несколько фильтров в одном, а затем извлекает результаты каждого фильтра и делает перекрестные ссылки на них друг с другом. Его также можно использовать для загрузки образцов, возвращаемых при поиске с помощью --download-all , или отдельных образцов с помощью переключателя --get-file .

Цель этого инструмента — сделать его интуитивно понятным, если оператор знаком с синтаксисом поиска в МБ.

Ключ API не требуется.

Скачать файлы LNK с тегом "CobaltStrike"

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

Загрузить конкретный хэш

python.exe .search.py --get-file HASH

• Поисковый запрос yara не работает должным образом, поэтому он не поддерживается.
• Поисковый запрос issuer_cn не поддерживается. Используйте общие имена, часто содержащие пробелы, что нарушает логику.
• Использование чрезвычайно распространенных параметров в сочетании с чрезвычайно специфическими может привести к получению упущенных результатов. Для проверки просто используйте конкретный параметр.
  • т.е. образец очень часто имеет тег «exe», и поскольку сценарий может возвращать только последние 1000 результатов, если этот тег сочетается с очень конкретным параметром, например серийным номером, он, скорее всего, не вернет никаких результатов. неправильно

Перед использованием рекомендуется ознакомиться с ограничениями MB API.

https://bazaar.abuse.ch/faq/#api-limit

Мой пост на Medium об инструменте

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0