用于链接 MalwareBazaar 搜索参数的脚本
通过使用-s, --search扩展默认搜索语法的功能,该工具可用于在 MalwareBazar (MB) 中快速查找示例。它通过允许用户在一个过滤器中提供多个过滤器,然后提取每个过滤器的结果并将它们相互交叉引用来实现这一点。它还可用于下载使用--download-all搜索返回的示例,或使用--get-file开关下载单个示例。
该工具的目标是,如果操作员熟悉 MB 搜索语法,那么它会相当直观。
不需要 API 密钥。
下载标有“CobaltStrike”的 LNK 文件
python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all
下载特定哈希值
python.exe .search.py --get-file HASH
yara搜索查询无法按预期工作,因此不受支持issuer_cn搜索查询,对通常带有空格的常用名称执行此操作,从而破坏逻辑建议在使用前了解 MB API 限制。
https://bazaar.abuse.ch/faq/#api-limit
我关于该工具的 Medium 帖子
https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0
