01 项目地址
https://github.com/alexandreborges/malwoverview
02 项目介绍
Malwoverview.py 是用于威胁搜寻的第一响应工具,它对恶意软件样本、URL、IP 地址、域、恶意软件系列、IOC和哈希值进行初始和快速分类。此外,Malwoverview 能够获取动态和静态行为报告,从多个端点提交和下载示例。简而言之,它作为主要现有沙箱的客户端。
该工具的目的是:
-
根据导入表(impash)确定相似的可执行恶意软件样本(PE/PE+),并按不同颜色对它们进行分组(注意输出中的第二列)。因此,颜色很重要!
-
显示有关 Virus Total、Hybrid Analysis、Malshare、Polyswarm、URLhaus、Alien Vault、Malpedia 和 ThreatCrowd 引擎的哈希信息。
-
确定恶意软件样本是否包含覆盖,如果需要,请将其提取。
-
检查 Virus Total、Hybrid Analysis 和 PolySwarm 上的可疑文件。
-
检查 Virus Total、Malshare、Polyswarm、URLhaus 引擎和 Alien Vault 上的 URL。
-
从 Hybrid Analysis、Malshare、URLHaus、Polyswarm 和 Malpedia 引擎下载恶意软件样本。
-
向 VirusTotal、Hybrid Analysis 和 Polyswarm 提交恶意软件样本。
-
列出来自 URLHaus 的最后可疑 URL。
-
列出来自 URLHaus 的最后有效负载。
-
在 Malshare 上搜索特定负载。
-
在 Polyswarm 引擎上搜索类似的有效负载 (PE32/PE32+)。
-
对目录中的所有文件进行分类,搜索有关病毒总数和混合分析的信息。
-
使用不同的引擎(例如 VirusTotal、Malpedia 和 ThreatCrowd)制作有关可疑域的报告。
-
直接从 Android 设备检查 APK 包与混合分析和病毒总数。
-
直接从 Android 设备向 Hybrid Analysis 和 Virus Total 提交 APK 包。
-
显示与 URLHaus 中用户提供的标签相关的 URL。
-
显示与来自 URLHaus 的标签(签名)相关的有效负载。
-
显示 Virus Total、Alien Vault、Malpedia 和 ThreatCrowd 中有关 IP 地址的信息。
-
显示来自 Polyswarm 的 IP 地址、域和 URL 信息。
-
使用多个标准在 Polyswarm 网络上执行元搜索:imphash、IPv4、域名、URL 和恶意软件系列。
-
使用不同的标准从 AlienVault 收集威胁搜寻信息。
-
使用不同的标准从 Malpedia 收集威胁搜寻信息。
-
使用不同的标准从恶意软件集市收集威胁搜寻信息。
-
使用不同标准从 ThreatFox 收集 IOC 信息。
-
使用不同的标准从 Triage 收集威胁搜寻信息。
-
根据 Virus Total 评估给定文件中的哈希值。
-
将大文件 (>= 32 MB) 提交到 Virus Total。
-
Malwoverview 使用 Virus Total API v.3,因此不再有任何使用 v.2 的选项。
-
从 InQuest Labs 检索不同的信息并从那里下载示例。
注:工具仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。
原文始发于微信公众号(GSDK安全团队):威胁搜寻响应工具 - malwoverview
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论