หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

มัลแวร์-ตลาดสด-การค้นหาขั้นสูง

สคริปต์เพื่อเชื่อมโยงพารามิเตอร์การค้นหาสำหรับ MalwareBazaar

การใช้งาน

เครื่องมือนี้สามารถใช้เพื่อค้นหาตัวอย่างใน MalwareBazar (MB) ได้อย่างรวดเร็วโดยขยายการทำงานของไวยากรณ์การค้นหาเริ่มต้นด้วย -s, --search โดยอนุญาตให้ผู้ใช้ระบุตัวกรองหลายตัวในตัวกรองเดียว จากนั้นดึงผลลัพธ์ของตัวกรองแต่ละตัวและอ้างอิงโยงซึ่งกันและกัน นอกจากนี้ยังสามารถใช้เพื่อดาวน์โหลดตัวอย่างที่ส่งคืนโดยการค้นหาด้วย --download-all หรือตัวอย่างแต่ละรายการด้วยสวิตช์ --get-file

เป้าหมายของเครื่องมือนี้คือเพื่อให้ใช้งานง่ายหากผู้ปฏิบัติงานคุ้นเคยกับไวยากรณ์การค้นหา MB

ไม่จำเป็นต้องมีคีย์ API

ดาวน์โหลดไฟล์ LNK ที่ติดแท็กด้วย "CobaltStrike"

python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all

ดาวน์โหลดแฮชเฉพาะ

python.exe .search.py --get-file HASH

ปัญหาที่ทราบ

  • คำค้นหา yara ไม่ทำงานตามที่คาดไว้ ดังนั้นจึงไม่ได้รับการสนับสนุน
  • คำค้นหาของ issuer_cn ไม่ได้รับการสนับสนุน ทำกับชื่อทั่วไปที่มักจะมีช่องว่าง ทำลายตรรกะ
  • การใช้พารามิเตอร์ทั่วไปอย่างยิ่งผสมกับพารามิเตอร์ที่เฉพาะเจาะจงอย่างยิ่งอาจทำให้ได้ผลลัพธ์ที่พลาดไป หากต้องการตรวจสอบ เพียงใช้พารามิเตอร์เฉพาะ
    • กล่าวคือ เป็นเรื่องปกติมากที่ตัวอย่างจะมี "exe" เป็นแท็ก และเนื่องจากสคริปต์สามารถส่งคืนผลลัพธ์ล่าสุดได้เพียง 1,000 รายการเท่านั้น หากแท็กนี้รวมกับพารามิเตอร์ที่เฉพาะเจาะจงมาก เช่น หมายเลขซีเรียล สคริปต์จะไม่ต้องการส่งคืนผลลัพธ์ใด ๆ ไม่ถูกต้อง

ขีดจำกัด API

ขอแนะนำให้ทำความเข้าใจขีดจำกัดของ MB API ก่อนใช้งาน

https://bazaar.abuse.ch/faq/#api-limit

ตู้โชว์เครื่องมือ

โพสต์สื่อของฉันเกี่ยวกับเครื่องมือ

https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด