Você já teve problemas para pesquisar amostras de malware específicas? Este projeto é uma GUI da web amigável para analistas para analisar seu warehouse digital.O mquery pode ser usado para pesquisar em terabytes de malware em um piscar de olhos:

Graças ao  banco de dados UrsaDB , as consultas em grandes conjuntos de dados podem ser extremamente rápidas.

Como funciona? 
O YARA é bastante rápido, mas a pesquisa em grandes conjuntos de dados para determinada assinatura pode levar muito tempo. Para contrapor isso, implementamos um banco de dados personalizado chamado UrsaDB. É capaz de pré-filtrar os resultados, portanto, só é necessário executar o YARA contra uma pequena fração de binários:

Instalação (Docker) A
maneira recomendada de instalar coisas é criar a partir de fontes usandodocker-compose:

git clone --recurse-submodules https://github.com/CERT-Polska/mquery.git
docker-compose up --scale daemon=3

onde --scale daemon=...refere-se ao número de trabalhadores que processarão simultaneamente trabalhos de seleção / indexação. 
Dica: Seu docker-composedeve suportar a sintaxe v3 de docker-compose.yml. Atualize seu software se você tiver algum problema. 

Manual de instalação)

  1. Execute o ursadbbanco de dados (consulte o ursadbprojeto para obter instruções adicionais sobre esse tópico).
  2. Instalar redis-serverpython2.
  3. Requisitos de instalação: pip install -r requirements.txt
  4. Copiar config.example.pypara config.py, lembre-se de ajustar as configurações e definir exclusivo SECRET_KEY.
  5. Configure um aplicativo de frasco originado webapp.pyno seu servidor da Web favorito.
  6. Executar daemon.py– um script autônomo que deve funcionar constantemente, considere colocá-lo no systemd.

Como usar essa coisa

  1. Inicie o sistema inteiro (consulte “Instalação”).
  2. A interface da Web (por padrão) deve estar disponível em http: // localhost: 80 /
  3. Carregar arquivos para serem indexados ao mquery_samplesvolume. Do host, deve estar visível em /var/lib/docker/volumes/mquery_samples/_data. Em caso de dúvida, depure usando o docker image inspect mquery_samplescomando.
  4. Abra a interface web, escolha a aba “admin” e clique em “Index / mnt / samples”.
  5. Durante a indexação, o progresso atual será exibido na seção “backend” da aba “admin” (sem atualização automática), o ursadb também reportará periodicamente algo no console.
  6. Após a indexação bem-sucedida, seus arquivos devem ser pesquisáveis.  para a aba principal e faça o upload de alguns Yara, por exemplo:
rule emotet4_basic: trojan
{
    meta:
        author = "psrok1/mak"
        module = "emotet"
    strings:
        $emotet4_rsa_public = { 8d ?? ?? 5? 8d ?? ?? 5? 6a 00 68 00 80 00 00 ff 35 [4] ff 35 [4] 6a 13 68 01 00 01 00 ff 15 [4] 85 }
        $emotet4_cnc_list = { 39 ?? ?5 [4] 0f 44 ?? (FF | A3)}
    condition:
        all of them
}

[sociallocker id=”1005″]
Download

[/sociallocker]