DefenderYara/Trojan/Linux/Merlin/Trojan_Linux_Merlin_A.yar

rule Trojan_Linux_Merlin_A{
	meta:
		description = "Trojan:Linux/Merlin.A,SIGNATURE_TYPE_ELFHSTR_EXT,04 00 04 00 0e 00 00 "
		
	strings :
		$a_03_0 = {48 83 fb 05 0f 85 ?? ?? ?? ?? 8b 08 81 f9 68 74 74 70 0f 85 ?? ?? ?? ?? 80 78 04 33 74 ?? 81 f9 68 74 74 70 e9 } //2
		$a_03_1 = {80 78 04 73 0f 85 ?? ?? ?? ?? 48 8d ?? ?? ?? ?? ?? e8 ?? ?? ?? ff 48 c7 40 08 08 00 00 00 48 8d ?? ?? ?? ?? ?? 48 89 08 48 8b 4c 24 48 48 c7 41 70 01 00 00 00 48 c7 41 78 01 00 00 00 } //2
		$a_03_2 = {49 81 f8 c8 00 00 00 0f 84 ?? ?? ?? ?? 49 81 f8 91 01 00 00 0f 85 ?? ?? ?? ?? b8 02 00 00 00 48 8d ?? ?? ?? ?? ?? b9 4f 00 00 00 e8 ?? ?? ?? ff 48 8d } //2
		$a_03_3 = {48 83 fb 0a 75 ?? 48 b9 70 61 64 64 69 6e 67 6d [0-01] 48 39 08 75 ?? 66 81 78 08 61 78 75 ?? 48 8b 4c 24 48 48 8b 81 a0 00 00 00 bb 0a 00 00 00 } //2
		$a_03_4 = {48 8b 6d 00 48 89 d8 48 89 cb e8 ?? ?? ?? ff [0-02] 48 83 fb 06 0f 85 ?? ?? ?? ?? 81 38 6f 70 61 71 0f 85 ?? ?? ?? ?? 66 81 78 04 75 65 } //2
		$a_00_5 = {6a 6f 62 73 2e 53 68 65 6c 6c 63 6f 64 65 } //1 jobs.Shellcode
		$a_00_6 = {6d 79 74 68 69 63 2e 43 68 65 63 6b 49 6e } //1 mythic.CheckIn
		$a_00_7 = {6d 79 74 68 69 63 2e 43 6c 69 65 6e 74 } //1 mythic.Client
		$a_00_8 = {6d 79 74 68 69 63 2e 43 6f 6e 66 69 67 } //1 mythic.Config
		$a_00_9 = {6d 79 74 68 69 63 2e 52 65 73 70 6f 6e 73 65 } //1 mythic.Response
		$a_00_10 = {67 69 74 68 75 62 2e 63 6f 6d 2f 4e 65 30 6e 64 30 67 2f 6d 65 72 6c 69 6e } //1 github.com/Ne0nd0g/merlin
		$a_00_11 = {67 69 74 68 75 62 2e 63 6f 6d 2f 4e 65 30 6e 64 30 67 2f 6a 61 33 74 72 61 6e 73 70 6f 72 74 } //1 github.com/Ne0nd0g/ja3transport
		$a_01_12 = {4d 65 72 6c 69 6e 43 6c 69 65 6e 74 } //1 MerlinClient
		$a_01_13 = {4d 79 74 68 69 63 49 44 } //1 MythicID
	condition:
		((#a_03_0  & 1)*2+(#a_03_1  & 1)*2+(#a_03_2  & 1)*2+(#a_03_3  & 1)*2+(#a_03_4  & 1)*2+(#a_00_5  & 1)*1+(#a_00_6  & 1)*1+(#a_00_7  & 1)*1+(#a_00_8  & 1)*1+(#a_00_9  & 1)*1+(#a_00_10  & 1)*1+(#a_00_11  & 1)*1+(#a_01_12  & 1)*1+(#a_01_13  & 1)*1) >=4
 
}