近日，著名的反恶意软件组织MalwareMustDie的研究人员unixfreaxjp发现了史上首个攻击ARC CPU的Linux恶意软件，目前，他将这种新的Linux ELF恶意软件被命名为MIRAI OKIRU。

还记得导致曾席卷全球，瘫痪各国互联网服务的Mirai吗？2016年8月，就是 unixfreaxjp首先发现了首先发现了Mirai僵尸网络，并让它进入公众的视野。由此可见，他在检测Mirai僵尸网络上具有很强的专业能力。这不，看到MIRAI OKIRU，你自然而然就会想到Mirai僵尸网络，OKIRU确实是MIRAI的变种。

不过Mirai僵尸网络的变种并不是一开始就是OKIRU，在它之前还出现过一个叫做Satori的变种。Satori是在2017年12月初被发现的，它随时都可能发起DDos攻击，带来严重的后果。据统计，Satori在爆发初期，短短12小时之内就感染了超过28万个IP地址，并利用最新发现的零日漏洞控制了数十万台家庭路由器。攻击速度比Mirai快了不止一点点——如果把Mirai的威力比做一把枪，那么Satori 就是大炮。只是，这台“大炮”目前像定时炸弹一样，还没有发威。

不过Satori 刚开始是以 Mirai Okiru 的名义被研究的，早在2017年11 月 23 日就有安全公司发现了Satori的踪迹。不过，刚开始Satori 的绝大多数“肉鸡”位于阿根廷。此后，该僵尸网络朝埃及、土耳其、乌克兰、委内瑞拉和秘鲁开始肆虐。

直到最近，真正的OKIRU才出现，比Satori晚了一个月左右，其攻击能力似乎比Satori更大，且隐蔽性更好。因为在被发现之前几乎没有什么安全措施可以检测到它。

如果是这样，那基于 ARC的物联网设备将会带来毁灭性的攻击。ARC 嵌入式处理器目前已经被 200 多个组织授权，并且目前全球已有10亿的物联网设备是基于ARC cpu的，可见潜在的安全隐患是多么的大。

ARC（Argonaut RISC Core）嵌入式处理器是由ARC International最初设计的一系列32位CPU。它们广泛用于存储，家庭，移动，汽车和物联网应用的SoC器件。 ARC处理器已获得200多家组织的许可，每年出货量超过15亿，如此强大的僵尸网络可以用于多种恶意目的。

Mirai Satori与Okiru的不同

1.配置不同：Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密，而 Satori 并不分割这两个部分，也不加密默认密码。并且 Okiru 的远程攻击登录信息要长（可以达到114个凭证），而 Satori拥有着完全不同以及更短的数据库；

2.Satori拥有分布式反射拒绝服务（DRDoS）攻击功能，而Okiru似乎没有这个功能；

3.在 Okiru 和 Satori 的配置中，感染跟进的命令有点不同，也就说他们没有共享相同的“羊群效应（herding environment）”环境。

4.四种类型的路由器攻击漏洞利用代码在Okiru变体中只被硬编码，但是Satori完全不使用这些漏洞；

5.Satori是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件，与 Okiru相比其编码方式存在不同。