Cross-Architecture Configuration Extractor for IoT Malware Mirai

近年，IoTマルウェアによるDDoS攻撃が頻発しており，ISP事業者にも甚大な被害を与えている．DDoS攻撃に関連するIoTマルウェアはMiraiとその亜種が大半を占め，調査のために設定情報の抽出ツールが開発されている．Miraiは多様なアーキテクチャでビルドされるが，既存のツールは1，2種類のアーキテクチャにしか対応できていない．本研究では，特定のアーキテクチャに依存するコードを減らすため，Ghidraのデコンパイラと中間表現のP-Codeを活用することにより，8種類のアーキテクチャに対応したMiraiの設定情報抽出ツール「mirai-toushi」を開発した．実際の検体で有効性を評価するため，2020年5月から2024年5月までにハニーポットやIPSで収集された2,426検体に対してツールを適用した．その結果，C2サーバの宛先等が格納されたテーブルの抽出数は，既存ツールが673件で，本ツールが1,743件だった．加えて，本ツールではパスワードリストを1,641件抽出しており，ツールの有効性を確認できた．広く活用してもらうため，mirai-toushiをGitHubに公開した．

In recent years, IoT malware frequently launches DDoS attacks, causing massive damage to ISPs. Since Mirai and its variants account for the vast majority of IoT malware, security researchers develop configuration extracting tools to understand its characteristics. However, Mirai is built on diverse architectures, developing tools is difficult. Indeed, existing tools only support one or two architectures. In this study, we utilize Ghidra decompiler and intermediate representation P-Code to reduce architecture-dependent codes, and develop Mirai configuration extractor “mirai-toushi” that supported 8 architectures. To evaluate mirai-toushi against real-world malwares, we applied mirai-toushi to 2,426 malwares collected in honeypot/IPS from March 2020 to March 2024. The existing tool extracted 673 tables containing data such as C2 servers, while mirai-toushi extracted 1,743 tables. In addition, mirai-toushi extracted 1,641 password lists. The results show that mirai-toushi can extract Mirai configurations effectively. We have made mirai-toushi publicly available on GitHub.