用於連結 MalwareBazaar 搜尋參數的腳本
透過使用-s, --search擴展預設搜尋語法的功能,該工具可用於在 MalwareBazar (MB) 中快速尋找範例。它透過允許使用者在一個過濾器中提供多個過濾器,然後提取每個過濾器的結果並將它們相互交叉引用來實現這一點。它也可用於下載使用--download-all搜尋返回的範例,或使用--get-file開關下載單一範例。
該工具的目標是,如果操作員熟悉 MB 搜尋語法,那麼它會相當直觀。
不需要 API 金鑰。
下載標有“CobaltStrike”的 LNK 文件
python.exe .search.py -s "file_type:lnk signature:CobaltStrike" --download-all
下載特定哈希值
python.exe .search.py --get-file HASH
yara搜尋查詢無法如預期運作,因此不受支援issuer_cn搜尋查詢,對通常帶有空格的常用名稱執行此操作,從而破壞邏輯建議在使用前先了解 MB API 限制。
https://bazaar.abuse.ch/faq/#api-limit
我關於該工具的 Medium 帖子
https://montysecurity.medium.com/hunting-cobalt-strike-lnk-loaders-f3c407a991c0
