MalwareBazaar

#informatik/sicherheit/malware #threat-intelligence

Datenbank von Malware-Samples

MalwareBazaar ist ein Service von abuse.ch. Er sammelt Malware-Samples und stellt sie für Forschung bereit.

Was macht MalwareBazaar?

Sammelt Malware-Samples: Von Forschern weltweit
Analysiert sie: Automatische Analyse
Stellt Hashes bereit: SHA256, MD5, SHA1
Kategorisiert: Nach Malware-Familie (Emotet, TrickBot, etc.)
API-Zugriff: Automatisierung möglich

Verwendung

1. Hash-Abgleich

Frage: Ist diese Datei Malware?

import requests

url = "https://mb-api.abuse.ch/api/v1/"
data = {
    "query": "get_info",
    "hash": "SHA256_HASH_HERE"
}
response = requests.post(url, data=data)

if response.json()["query_status"] == "ok":
    print("Malware gefunden!")
    print(f"Name: {response.json()['data'][0]['file_name']}")
    print(f"Type: {response.json()['data'][0]['file_type']}")
else:
    print("Keine Malware")

2. Sample-Download

Für Forschung:

Download von Malware-Samples
Passwort-geschützte ZIP-Archive
Nur für legitime Forschung

Vorsicht

Malware-Samples nur in isolierter Umgebung öffnen! Am besten in VM ohne Netzwerk.

3. Aktuelle Bedrohungen

Frage: Was ist gerade aktiv?

url = "https://mb-api.abuse.ch/api/v1/"
data = {
    "query": "get_recent",
    "selector": 10  # Letzte 10 Samples
}
response = requests.post(url, data=data)

Integration mit Suricata

MalwareBazaar-Signaturen können in Suricata genutzt werden:

Services → Intrusion Detection → Download
  - abuse.ch (enthält MalwareBazaar-Signaturen)

API-Endpunkte

Hauptfunktionen:

get_info: Info zu Hash
get_recent: Letzte Samples
get_file: Sample herunterladen
get_taginfo: Samples nach Tag
get_cscb: C2-Tracker

Beispiel-Response

{
  "query_status": "ok",
  "data": [
    {
      "sha256_hash": "abc123...",
      "file_name": "invoice.exe",
      "file_type": "exe",
      "file_size": 123456,
      "signature": "Emotet",
      "first_seen": "2025-01-07 10:00:00",
      "tags": ["exe", "Emotet"]
    }
  ]
}

Malware-Familien

Häufige Familien in MalwareBazaar:

Emotet: Banking-Trojaner
TrickBot: Banking-Trojaner
Qakbot: Banking-Trojaner
AgentTesla: Keylogger
RedLine: Infostealer
Cobalt Strike: Pentesting-Tool (missbraucht)

Web-Interface

Auch ohne API nutzbar: https://bazaar.abuse.ch/

Features:

Suche nach Hash
Browse nach Tag
Statistiken
Sample-Download

Kostenlos

MalwareBazaar ist kostenlos für alle. Keine Registration notwendig (außer für Sample-Download).