过去几年于物联网（loT）威胁领域一直是多事之秋，新一波分布式拒绝服务（DDoS）bot（“肉鸡”）层出不穷。自首次被报道的2016年Mirai僵尸网络（Linux.Mirai）事件之后，恶意软件的源代码随后被泄露，此系列的变种数量一直在稳步增长，它们的成功进化得益于物联网大环境的疏于管理。事实上，物联网市场非常分散，大多数设备都没有收到已知漏洞的软件补丁。更糟糕的是，恶意软件作者继续发展这些变种，使恶意软件在不同平台和体系结构中发展得更强大，移动得更加便捷。 [出自:jiwo.org]

利用开源项目

跨平台的IoT僵尸网络的主要痛点之一是可移植性。恶意软件必须能够独立地运行在不同的架构和平台上，不允许任何运行时的意外或错误配置出现。如果缺乏经验的威胁者只是复制/粘贴和重用现有的恶意代码库编写脚本，那他们也极其容易在这里栽跟头。

在7月底，赛门铁克研究者见到了一个实时远程服务器，它承载着多个恶意软件变体，每个变体都适用于特定的平台。和许多Mirai感染一样，它首先在脆弱的设备上启动一个shell脚本。该shell脚本依次尝试下载和执行各个可执行文件，直到找到符合当前体系结构的二进制文件为止。

图1. shell脚本逐个下载可执行文件，直到找到适用于当前体系结构的可执行文件

成功执行的可执行文件负责实际的Mirai有效负载，例如通过创建随机地址列表并扫描具有默认凭据或漏洞的设备来枚举IP地址列表。

虽然这与我们迄今为止看到的Mirai变体的行为类似，但有趣的是编译后的二进制文件。这些变体是通过利用一个名为Aboriginal Linux的开源项目创建的，该项目使交叉编译过程变得简单，有效并且基本可以防止故障。值得注意的是，这个开源项目本身没有任何恶意或错误，恶意软件作者再次利用合法工具来补充他们的创作，这次是通过有效的交叉编译解决方案。

这个过程的结果是什么？

鉴于现有的代码库与优雅的交叉编译框架相结合，由此的恶意软件变体更加强大，并与多种架构和设备兼容，使其可在各种设备上执行，包括路由器，IP摄像机，连接设备，甚至是Android设备。例如，图2显示了在运行Android 4.4的Android设备上运行的ARM7恶意软件变体，图3显示了在Debian ARM上运行的示例。

图2.在Android 4.4上运行的示例

图3.在Debian ARM端口中调试的示例

恶意软件的其余功能与已知的Mirai行为一致。例如，当我在包含的环境中执行样本时，它尝试扫描通过先前描述的随机生成过程生成的500,000多个IP地址，然后尝试通过端口23发送原始分组数据。

赛门铁克的安全专家为普通用户物联网设备免遭感染提供了以下建议：

• 在购买之前研究物联网设备的功能和安全功能。
• 对网络上使用的IoT设备进行审核。
• 更改设备上的默认凭证，为设备帐户和Wi-Fi网络设置不与其他账户重复的强密码。
• 在设置Wi-Fi网络访问（WPA）时使用强加密方法。
• 禁用不需要的功能和服务。
• 禁用Telnet登录并尽可能使用SSH。
• 除非绝对必要，否则禁用路由器上的通用即插即用（UPnP）。
• 根据您的要求和安全策略修改IoT设备的默认隐私和安全设置。
• 在不需要时禁用或保护对IoT设备的远程访问。
• 尽可能使用有线连接而不是无线连接。
• 定期检查制造商的网站以获取固件更新。
• 确保硬件中断不会导致设备的不安全状态。