Mirai物联网恶意软件使用Linux来攻击多个平台

物联网恶意软件环境发生重大变化。安全研究人员发现了Mirai IoT恶意软件的一个版本，该恶意软件可以在各种架构上运行，甚至可以在Android设备上运行。

这种Mirai恶意软件菌株被称为Sora，这是一种在年初首次发现的菌株。

最早的版本没什么值得注意的的，但Sora的原创作者很快就开始在Sora创作后不久开发了Mirai Owari版本。

“SORA现在是一个弃置的项目，我将继续在OWARI上工作，”Sora恶意软件作者Wicked在接受NewSky Security采访时表示。

Mirai Sora变种正在卷土重来

SORA代码被遗弃了，但没有被遗忘。NewSky Security的恶意软件分析师Ankit Anubhav告诉Bleeping Computer，自6月以来，Sora检测的数量一直在稳步增长。见下图。

似乎其他恶意软件作者自己改进了SORA的代码。今天发布的赛门铁克报告详细介绍了一个改进的Sora版本。

使用本土Linux编译的新Sora版本

关于这个新Sora版本的突出之处在于，恶意软件作者使用原住民Linux编译了它，这是一个工具链实用程序，可以获取源代码并为相当多的平台生成二进制文件。

这个新菌株背后的作者在他的感染过程中使用了所有这些二进制文件，试图将他的Sora变体传播到尽可能多的设备。

一旦他通过猜测其SSH密码访问设备，感染例程将逐个下载并执行一个Sora二进制文件列表，直到找到一个适合受感染设备平台。

使用原住民Linux的这种特殊的Mirai Sora变种自7月以来一直存在。赛门铁克称，他们发现了在Android和Debian操作系统上成功执行的二进制文件，这是Mirai以前从未成功感染过的平台。

Mirai活动正在增加

运营Mirai追踪器的美国安全研究员Troy Mursch 今天在一次私人谈话中告诉Bleeping Computer，Sora并不是唯一一个看到复苏的人，并且Mirai攻击的数量一直在稳步增加。

从今年到目前为止，已经从86,063个独特的源IP中观察到与Mirai类似签名匹配的传入流量。#botnet活动的峰值于6月开始。@circl_lu也有类似的观察。 - Bad Packets报告（@bad_packets）2018年8月1日

“即使设备重新启动，它们也会再次成为新的目标，因为潜在的漏洞永远不会被修补，”Mursch说，指出了对没有安全补丁的过时设备的指责。在此之前，Mirai将继续困扰物联网大环境和整个互联网。