[2025-10-28] Understanding the Mirai Botnet

October 28, 2025

🦥 본문

Mirai Botnet

정의 및 개념

임베디드 장치와 IoT 기기를 감염시켜 DDoS 공격에 동원하는 웜 형태의 악성 코드 패밀리

Structure & propagation

Scan : 비동기적이며, stateless한 스캐닝 단계.

하드 코딩된 블랙리스트에 없는 유사 난수 IPv4 주소들을 대상으로 Telnet TCP/23, TCP/2323에 TCP SYN probe를 전송. SYN probe를 통해 포트가 열려있는 피해자를 식별
- 로그인 시도 : 잠재적인 피해자를 식별하면 하드 코딩된 기본 인증 정보를 무작위로 Brute Forcing하여 Telnet 연결 시도
- 핑거프린트 : 일반적으로 TCP 시퀀스 번호가 무작위 32비트 정수이지만 Stateless scan은 목적지 IP 주소와 동일. ISN 값을 따로 저장할 필요가 없기 때문에 메모리 오버 헤드 감소
전송 : 로그인에 성공 시, 미라이는 피해자 IP와 관련 인증 정보를 하드 코딩된 Report Server로 전송
로딩 : 로더 프로그램은 보고 서버에서 로그인 성공한 인증 정보를 통해 취약한 장치에 로그인하고 취약한 장치에 로그인하고 아키텍쳐를 파악
설치 : 아키텍쳐에 맞는 악성 코드를 다운로드하고 실행하여 감염.
은폐 : 다운된 바이너리 파일을 삭제하고 프로세스 이름을 유사난수 영숫자 문자열로 난독화하여 자신의 존재를 숨김. 하지만 이런 은폐 과정 때문에 재부팅을 하게 되면 악성 코드가 사라짐.
경쟁자 제거 : TCP/22 또는 TCP/23에 바인딩된 다른 프로세스, 다른 Mirai 변종 등 경쟁 악성 코드 감염과 관련된 프로세스들도 종료하여 강화.
봇 활성화 : 장치는 봇이 되어 C2(Command & Control) 서버와 연결하고 공격 명령을 기다리면서 새로운 피해자 스캔

데이터 수집 전략

Mirai 봇넷을 분석하기 위한 다각적인 데이터 수집 전략.

Network Telescope

미라이의 무차별적이고 신속한 스캐닝을 추적하기에 적합. Mirai 트래픽을 배경 복사 및 다른 스캐닝 활동과 구분하기 위해 stateless 스캐닝의 핑거 프린트를 사용.

관측 방법 및 결과

7개월간 470만개의 IP주소로 구성된 Network Telescope에 들어오는 모든 네트워크 요청을 모니터링. 분당 269,000개의 IP 주소로부터 110만개의 패킷 수신. 시간에 따른 스캐닝하는 IP 주소를 단순히 카운트하는 건 DHCP 변동 때문에 크기를 확인하는 데 좋은 지표가 아니기 때문에 매 시간 시작 시점에 능동적으로 스캐닝하고 있는 호스트의 수를 고려하여 봇넷의 크기를 추적. 하나의 IP 주소에서 나온 패킷들을 temporal window(시간 창) 내에서 논리적인 스캔으로 묶음. 초당 최소 5개 이상의 패킷 속도로 IPv4 주소 공간을 표적으로 삼는 스캔을 식별했으며 20분동안 비활성되면 해당 스캔을 종료. Maxmind를 사용하여 IP들의 지리적 위치를 파악

Active Scanning

Censys를 이용하여 IPv4 공간을 능동적으로 스캔하여 감염된 장치의 제조사와 모델을 확인.

관측 방법 및 결과

2016년 7월 19일부터 2017년 2월 28일 사이에 HTTPS, FTP, SSH, Telnet, 그리고 CWMP 프로토콜에 대한 스캔에 분석 초점.
- 어려움
  1. 미라이는 감염되자마자 외부 서비스(HTTP) 비활성화하여 스캔을 방해
  2. Censys는 스캔 완료하는 데 24시간 이상 걸리는 경우가 많고 DHCP 변동이 일어날 수 있음
  3. Censys가 서로 다른 날짜에 다른 프로토콜에 대한 스캔을 실행하여, 여러 서비스의 배너 정보(장치 식별을 위한 정보 : 제조사 및 모델명, 소프트웨어 버전 등)를 결합하여 라벨의 특이성을 높이는 것이 어려움
    
    즉, DHCP 변동으로 달라진 IP주소로 인해 IP주소 A의 여러 배너 정보가 실제로는 서로 다른 장치에서 나온 것일 위험이 생김
→ 스캐닝 활동이 감지된 시점으로부터 20분 이내에 수집된 배너 데이터로 분석 대상을 극도로 제한. 20분은 DHCP 변동으로 인한 잘못된 배너 데이터가 감염 장치와 연관될 위험을 최소화.

필터링 후 120만 개의 Mirai에 감염된 IP 주소와 관련된 180만 개의 배너가 포함. CWMP에 대한 샘플이 가장 많았고 SSH에 대한 샘플이 가장 적었음. 여기서 닫히지 않는 서비스(HTTPS 또는 FTP)를 가진 장치들이 측정 기간 동안 반복적으로 나타날 수 있어서 overcounting 될 수 있었음. → 그래서 프로토콜을 서로 분리. 절대적인 수보다는 상대적인 비율만을 고려

Nmap 서비스 프로브에서 사용되는 정규 표현식 세트를 적용하여 장치 식별. SSH 배너의 98%와 FTP 배너의 81%를 성공적으로 처리. Nmap에서 사용되지 않는 HTTPS와 CWMP를 위해 우리만의 정규표현식 구축했지만 식별할만한 충분한 데이터가 없었음

포트 포워딩 및 UPnP가 사용되어 단일 IP 주소 뒤에 여러 장치가 존재하는 경우 중개 장치와 최종 장치를 구별하기 어렵게 만들어 잘못된 귀속에 취약

Telnet Honeypot

취약한 IoT 장치로 위장한 Telnet Honeypot으로 부터 수집. 트래픽을 기록하고 공격자가 호스트에 설치하려 시도한 모든 바이너리 파일을 다운로드하여 샘플을 수집. C2 도메인과 사용자-암호 사전을 추출

관측 방법 및 결과

1,028개의 고유한 미라이 샘플을 수집. 일반적인 3가지 아키텍처 —MIPS 32비트, ARM 32비트, x86 32비트— 에 대한 바이너리를 분석하여 67개의 C2 도메인과 48개의 구별되는 사용자 이름/암호 사전을 식별

Passive & Active DNS

미라이 변종들에 대한 소유권을 구분하고 상대적인 규모 추정하기 위해 DNS 데이터를 사용. 고유한 33개의 DNS 클러스터를 식별

관측 방법 및 결과

공격 명령에 포함된 IP 주소를 피해자 도메인 이름에 매핑. 미국의 ISP로부터 수동 DNS 데이터 확보. 능동 DNS 모니터링 시스템인 Thales로부터 능동 DNS 데이터 세트를 확보

이전 도메인 이름과 이전 IP를 연결하여 공유된 DNS 인프라를 식별하기 위한 DNS 확장을 수행

Honeypot을 통해 얻은 67개의 C2 도메인을 시드로 이용하여 해당 도메인이 이전에 사용했던 모든 IP주소와 IP 주소를 이전에 사용했던 모든 도메인 이름을 반복적으로 연결하여 그래프 구조를 만듦

Attack Commands

Milker라는 도구를 통해 디도스 공격 명령 추적

관측 방법 및 결과

해당 도구가 C2 서버에 연결. 역공학된 커스텀 봇 - C2 프로토콜로 C2 서버와 통신. 공유된 C2 인프라와 시간적 유사성을 통해 그룹화. 146개의 고유 IP 클러스터에서 발생한 15,194건의 공격 데이터 추출

Tracking Mirai’s Spread

미라이의 전파와 성장.

Bootstrapping

초기 감염 시간은 75분으로 다른 웜에 비해 느렸는 데 이는 감염된 장치의 낮은 대역폭 및 컴퓨팅 자원, 소수의 인증 정보를 사용한 낮은 정확도의 Brute Forcing의 결과. 또는 로더 인프라의 병목 현상

Steady State Size

16년 9월 20~30만대 감염이라는 초기 안정 상태에 진입하여 11월 말에 60만대라는 최대 규모까지 성장하지만 2017년 2월 말 10만대로 붕괴. 단순한 dictionary attack을 사용했지만 다른 봇넷과 비슷한 규모

변종의 등장으로 감염의 재급증과 라우터 패치로 인한 쇠퇴.

Global Distribution

주요 봇 감염 지역으로는 주로 남미와 동남아에 집중. 이전 웜들은 미국에 집중했던과는 달리 저품질 호스트로 간주하는 지역을 주로 감염. 변종으로 인해 유럽 기반 AS 유입도 유발했으나 신속한 패치로 남미와 동남아로 회귀.

Device Composition

수집된 바이러리 파일을 통해 감염된 장치를 분석. 개발 의도는 다양한 IoT 장치를 포괄적으로 노렸으나 보안 카메라, DVR, 소비자 라우터가 대부분을 차지했고 그 중 소비자 라우터가 가장 큰 비율을 차지.

Device Bandwidth

감염된 장치의 스캔 속도로부터 얻어낸 대역폭을 조사했으나 초당 250바이트 미만의 낮은 속도로 스캔함을 추정. 제한된 연산 능력을 가졌거나 대역폭이 낮은 지역에 위치한 장치에 의해 구동됐음을 확인

Ownership and Evolution

Ownership

DNS 데이터 분석을 통해 C2 클러스터 식별. DNS 조회량을 기준으로 클러스터의 규모를 확인.

클러스터 사이즈와 특성, 규모 추정
- 사이즈와 특성
- 규모 추정

인프라를 전혀 공유하지 않는 33개의 독립적인 C2 클러스터를 식별. 다수의 봇 운영자가 존재함을 의미 이러한 점으로 인해 맞춤형 완화 방법은 어렵지만 악성 코드가 사용하는 네이밍 인프라가 작동하기 몇 주 전에 이미 활성화되는 경향이 보임. 예를 들어, 클러스터 2의 최대 조회량은 10월 21일이지만 이 클러스터의 C2 도메인에 대한 첫 조회는 8월 1일. DNS 인프라에 대한 신중한 분석을 통해 예방이 가능

Evolution

Mirai 소스 코드 공개 이전

IP 기반 C2에서 도메인 기반 C2로 업그레이드
악성 코드에 실행 바이너리를 삭제하고 프로세스 ID 난독화
추가 장치 감염을 위한 사용자-암호 추가.
감염 후 감염 포트인 TCP/23 및 TCP/2323 닫기
경쟁 악성코드 공격적인 제거

소스 코드 공개 이후

감염 능력 개선
역공학 노력을 늦추는 강화된 압축 바이너리
사용자-암호 세트 추가
IP 블랙 리스트 변경 (초기 스캐닝 블랙리스트에서 미국 국방부을 제거)
새로운 감염 매커니즘 : CWMP와 일반적으로 관련된 TCP/7547 및 TCP/5555 포트 스캔
하드 코딩된 C2 도메인 대신 도메인 생성 알고리즘(DGA)을 사용함.
탐지 회피를 위한 Residual Trust 악용 : C2 서버는 만료된 도메인 주소를 사용하여 탐지 회피

→ 규모 추정을 보았을 때, 진화가 성공을 보장하지는 않음

Mirai’s DDoS Attack

Types of Attacks

5개월간의 봇넷 침투 기간 동안 15194건의 DDoS 공격 명령이 발행됨.

32.8% Volumetric 공격 39.8% TCP state exhaustion, 34.5% 애플리케이션 계층 공격. 일반적으로 Volumetric 공격이 65%를 차지하는 현재 디도스 공격 환경과 다름. 또한 증폭 공격을 사용하지 않았지만 충분히 파괴적임.

Attack Targets

공격 대상은 93.7%가 개별 IP 대상. 3.9%가 서브넷. 2.4%가 도메인 이름. 개별 IP 주소는 게임 서버, 통신사, 안티-DDoS 제공 업체, 정치 웹사이트 등 다양. 서브넷 공격은 봇넷의 디도스 화력을 전체 네트워크 범위에 분산하기 위한 목적이었으나 서브넷이 Mirai 봇의 수를 훨씬 초과하는 분산된 네트워크 운영자와 총 IP 주소를 포함하여 미미함.

지역

미국(50.3%), 프랑스(6.6%), 영국(6.1%) 등이 있음
게임 서버 대상 공격

상위 14개의 피해자 중 게임 관련 표적이 높고 공격들이 지정한 포트 번호를 조사해본 결과 게임 서버에 대한 포트 번호가 상위권에 다수 포함.
변종들과의 경쟁 : 7번째로 흔한 공격은 Voxility가 호스팅 하는 IP 주소였는 데 이 IP는 미라이 C2 서버 중 하나와 연관 즉 스스로 DDoS 공격의 표적이 되었음 → 경쟁적인 봇넷 운영자가 존재함을 유추

→ 광범위한 프로토콜에 대한 직접적이고 비반사적인 공격이 사용. 감염된 봇의 지리와 피해자의 지리의 차이는 글로벌 솔루션의 중요성이 부각. 공격자들은 가장 취약한 호스트들을 악용하여 전반적인 인터넷 생태계를 교란

High Profile Attack

고위험 공격. 사례 연구

KrebsonSecurity

Krebs on Security 블로그는 오랫동안 디도스 공격의 타겟. 2016년 9얼 21일에는 전례없는 623Gbps 규모의 디도스 공격을 받았고 주범이 미라이로 지목되었음. 이전에 공개적으로 보고된 디도스 공격보다 훨씬 컸음.

능동적 스캐닝을 통해 얻은 미라이 IP와 Akamai가 관찰한 공격 IP 목록을 확인해보니 96%가 중복 → 동남아와 남미에 집중된 저사양 장치들로 구성되어있음에도 불구하고, 미라이 봇넷의 강력한 효능을 보여줌. C2 클러스터를 식별해보니 클러스터 1이 담당함
Dyn

인기 있는 DNS 제공 업체인 Dyn. 이들의 클라이언트(아마존, 깃허브, 넷플릭스, 트위터)에 대한 도메인 이름 확인이 중단. 초기에는 DNS 포트 53에 대한 SYN floods 공격. ACK 및 GRE IP 공격이 뒤따랐고, 이후에 지속적인 TCP/53에 대한 SYN 공격이 이어짐. 71%가 교차함 → 미라이가 연루되기했지만 다른 호스트들도 함께 관련 있을 수도 있음.

플레이스테이션 인프라를 동시에 표적으로 삼았음. 표적이 된 Dyn 및 플레이스테이션 IP 들은 플레이스테이션 name server와 연결. 또한 Xbox Live 등 다른 게임 호스팅 서버와 클라우드 서버를 표적으로 하는 다른 공격들 사이에 산발적으로 끼어 있음 → 게임 인프라를 표적으로 삼았음. 클러스터 6이 수행
Lonestar Cell

라이베리아의 대형 통신 운영자. 가장 많은 공격을 받은 대상. 클러스터 2가 수행.87%는 SYN 또는 ACK 플러드. 그 모회사에 속하는 전체 서브넷과 개별 주소를 모두 표적으로 삼음. IP 표적 외에도 **NXDOMAIN 공격이 발행. Voxility, Google, Facebook, Amazon 서버를 상대로 리플렉트 트래픽(반사 공격 트래픽)을 사용

Discussion

소비자가 관리하며 인터페이스가 없는 IoT 장치들을 보호하는 데 있어 기술적 및 규제적 도전 과제. 소수의 보안 의식이 있는 제조사가 소프트웨어 스택의 가장 민감한 부분을 통제하는 데스크톱 및 모바일과 달리 IoT는 제조사가 복잡하게 섞여 있고 대부분 방치.

보안 강화

정교하지 않은 dictionary 공격만으로도 감염. 미래에는 IoT 장치의 소프트웨어 취약점을 표적으로 삼도록 진화할 가능성이 큼.

→ 기본 포트를 닫고 원격 주소 접근을 로컬 네트워크 또는 특정 제공 업체로 제한. 네트워크 보안외에도 IoT 개발자들은 설계에서 ASLR, 격리 경계, 최소 권한 원칙을 적용해야 함. 인증 제도를 통해 제조 업체들에게 압력
Automatic Updates

버그와 취약점을 패치. 자원이 제한된 장치를 위한 암호화 기본 요소와 신뢰할 수 있는 업데이트를 지원하기 위한 PKI 구축이 필요

자동 업데이트를 무력화 시키는 제로데이 공격이 발생하는 경우 물리적 접근과 소비자 개입을 필요로 할가능성이 높은 안전한 대체 메커니즘을 제공해야 함

도이치 텔레콤의 감염 사레에서 자동 업데이트 메커니즘이 신속한 패치를 가능하게 했음을 보여줌
알림

IoT는 소비자와 연락할 확립된 통신 채널도 복잡하고 되더라도 명확하고 간단한 업데이트 경로 역시 존재해야 함

→ 최소한의 대안으로 소비자에게 알릴 수 있는 이메일 주소를 받는 비기술적 개입이 필요
기기 식별

네트워크 상으로 취약한 장치들을 탐지하는 것은 어려움. IoT 제조사들이 모델 및 펌웨어 버전을 네트워크에 식별시키는 통일된 방법 채택. 장치의 MAC 주소 일부에 이 정보를 인코딩시키는 방법을 사용. 낮은 레이어에서 해당 정보를 통해 네트워크 운영자가 알려진 취약 하드웨어에 대한 원격 접근을 자동으로 비활성화하는 조치를 취할 수 있음
단편화 해소

장치마다 Telnet, FTP, HTTP 등 기본 서비스 스택이 제각각 구현. 각 구현체에 잠재적인 취약점이 발생하기도 쉽고 일관되게 관리하거나 패치하기 어려움. 커뮤니티는 소수의 표준화된 운영체제를 채택하여 대응
수명 종료

장기적인 지원의 부족은 현재의 Windows XP 장치들과 유사하게 보호되는 장치와 보호되지 않는 장치의 두 계층 시스템을 초래. 이 장치들이 오프라인으로 전환되지 않는 한 인터넷 공용 자원에 가하는 위험은 증가