IoT機器を標的としたLinuxマルウェアの増加とともに，ライブラリ関数を静的結合したLinuxマルウェアが多数確認されている．このようなマルウェアの多くにおいて関数などのシンボル情報が消去されているため，関数レベルでのマルウェア解析が困難であることがわかっている．そこで，関数レベルの解析を支援するため，パターンマッチングによりシンボル情報が消去されたIoTマルウェア（Intel 80386のELFファイル）に静的結合されたライブラリ関数の特定を試みた．その結果，収集した2,148検体において各マルウェアが使用する全ライブラリ関数の名前とアドレスを特定できた．ライブラリ関数の特定により，検体のビルドに使用されたツールチェインも特定でき，それらはたったの5種類であり，4種類のツールチェインはWebサイト上で公開されているものであった．VirusTotalの分類結果によれば，分析した検体には2つのファミリ（MiraiとGafgyt）しか存在しなかったが，特定したライブラリ関数の名前リストのSHA2に基づいて検体を分類した結果、およそ263種類の亜種が存在することがわかった．

Many Linux malware have been found to have statically linked library functions. Much of this malware are stripped of function names and addresses, hindering function-level analysis. For function-level analysis, we identified library functions statically linked to stripped IoT malware with the Intel 80386 architecture by matching patterns. The pattern matching identified all library functions for the 2,148 samples we collected. Only five toolchains had been used to build the samples, and the five toolchains are available on the Internet. The C library used by the malware was uClibc in 98.6% of the samples and musl in 1.4%. VirusTotal classified the samples into only two malware families, i.e., Mirai and Gafgyt, but we found approximately 263 different variants by classifying the samples based on the SHA2 hash of the library function name list.