Você já teve problemas para pesquisar amostras de malware específicas? Este projeto é uma GUI da web amigável para analistas para analisar seu warehouse digital.O mquery pode ser usado para pesquisar em terabytes de malware em um piscar de olhos:

Graças ao banco de dados UrsaDB , as consultas em grandes conjuntos de dados podem ser extremamente rápidas.
Como funciona?
O YARA é bastante rápido, mas a pesquisa em grandes conjuntos de dados para determinada assinatura pode levar muito tempo. Para contrapor isso, implementamos um banco de dados personalizado chamado UrsaDB. É capaz de pré-filtrar os resultados, portanto, só é necessário executar o YARA contra uma pequena fração de binários:

Instalação (Docker) A
maneira recomendada de instalar coisas é criar a partir de fontes usandodocker-compose
:
git clone --recurse-submodules https://github.com/CERT-Polska/mquery.git
docker-compose up --scale daemon=3
onde --scale daemon=...
refere-se ao número de trabalhadores que processarão simultaneamente trabalhos de seleção / indexação.
Dica: Seu docker-compose
deve suportar a sintaxe v3 de docker-compose.yml
. Atualize seu software se você tiver algum problema.
Manual de instalação)
- Execute o
ursadb
banco de dados (consulte oursadb
projeto para obter instruções adicionais sobre esse tópico). - Instalar
redis-server
epython2
. - Requisitos de instalação:
pip install -r requirements.txt
- Copiar
config.example.py
paraconfig.py
, lembre-se de ajustar as configurações e definir exclusivoSECRET_KEY
. - Configure um aplicativo de frasco originado
webapp.py
no seu servidor da Web favorito. - Executar
daemon.py
– um script autônomo que deve funcionar constantemente, considere colocá-lo no systemd.
Como usar essa coisa
- Inicie o sistema inteiro (consulte “Instalação”).
- A interface da Web (por padrão) deve estar disponível em http: // localhost: 80 /
- Carregar arquivos para serem indexados ao
mquery_samples
volume. Do host, deve estar visível em/var/lib/docker/volumes/mquery_samples/_data
. Em caso de dúvida, depure usando odocker image inspect mquery_samples
comando. - Abra a interface web, escolha a aba “admin” e clique em “Index / mnt / samples”.
- Durante a indexação, o progresso atual será exibido na seção “backend” da aba “admin” (sem atualização automática), o ursadb também reportará periodicamente algo no console.
- Após a indexação bem-sucedida, seus arquivos devem ser pesquisáveis. Vá para a aba principal e faça o upload de alguns Yara, por exemplo:
rule emotet4_basic: trojan
{
meta:
author = "psrok1/mak"
module = "emotet"
strings:
$emotet4_rsa_public = { 8d ?? ?? 5? 8d ?? ?? 5? 6a 00 68 00 80 00 00 ff 35 [4] ff 35 [4] 6a 13 68 01 00 01 00 ff 15 [4] 85 }
$emotet4_cnc_list = { 39 ?? ?5 [4] 0f 44 ?? (FF | A3)}
condition:
all of them
}
[sociallocker id=”1005″]
Download
[/sociallocker]