新一波Mirai来袭，应用跨平台感染技术​传播自己

随着IoT设备数量的增加，IoT威胁图谱已发送改变，新一波DDoS攻击出现。2016年，Mirai僵尸网络事件发生后，恶意软件源码随即泄露。之后，Mirai变种数量平稳增长，攻击成功的另一方面说明IoT设备的管理环境恶劣。
与安卓操作系统相比，IoT操作系统碎片化更加严重，大多数的设备并不会收到已知漏洞的软件升级补丁。而且，恶意软件作者在不断进化恶意软件变种，然后就不断发展为跨平台和架构的恶意软件。
恶意软件可以运行的平台包括：

跨平台IoT僵尸网络的一大痛点即可移动性。恶意软件必须能够在不同的架构和平台上运行。许多简单的复制粘贴、重用其他恶意软件代码基的开发者都失败了。
7月底，研究人员发现一个保存有多个恶意软件变种的远程服务器，每个变种对应一个特定的平台。随着Mirai的感染，恶意软件会在受害者设备上释放一个shell脚本。随后，shell脚本会下载和执行与当前架构相适应的可执行文件。

图1. 下载和执行与当前架构相适应的可执行文件的shell脚本
成功执行的可执行文件就是真实的Mirai payload，比如用默认凭证或漏洞创建随机地址列表和扫描设备的方式会枚举IP地址列表。
这些变种使用了Aboriginal Linux开源项目，使交叉编译进程变得更加容易和高效。而Aboriginal Linux本身并没有任何恶意，只不过是一起恶意软件作者滥用合法工具从事恶意行为的例子。
当前代码基融合了交叉编译框架，生成的恶意软件变种更加鲁棒，并可以与多种架构和设备相协调，其中就包括安卓设备。图2是运行在Android 4.4系统的安卓设备上运行的ARM 7恶意软件变种，图3是运行在Debian ARM上的恶意软件样本。

图2. 运行在Android 4.4系统的恶意样本

图3. 以Debian ARM端口调试的样本
恶意软件的其他功能与Mirai是一致的。比如，研究人员在容器缓解中运行样本时，恶意样本会扫描通过随机生成进程生成的超过50万个IP地址，然后通过23端口发送原始包数据。

Symantec对感染了恶意软件的IoT设备给出了以下建议：

参考文章：
https://securityboulevard.com/2018/08/mirai-iot-malware-variant-abuses-linux-cross-compilation-framework/