DEEP DIVE REPORT

IoT 봇넷 해체 - Aisuru/Kimwolf/JackSkid/Mossad

SecurityDesk
2026.04.06 조회 24

IoT 봇넷 분석 및 해체 보고서

Aisuru / Kimwolf / JackSkid / Mossad

Executive Summary

본 보고서는 활발히 활동 중인 4개의 IoT 봇넷(Aisuru, Kimwolf, JackSkid, Mossad)에 대한 종합 기술 분석 및 위협 평가를 제공합니다. 모든 봇넷은 Mirai 코드베이스를 기반으로 하며, IoT 디바이스의 기본 인증 정보나 알려진 취약점을 악용하여 감염시킵니다.

주요 발견:
- 4개 봇넷 모두 Mirai 소스 코드에서 파생됨
- 주요 공격 벡터: DDoS(HTTP Flood, UDP Flood, TCP SYN Flood)
- 주요 타겟 디바이스: IoT 카메라, 라우터, DVR, NAS
- 취약점 악용: CVE-2017-17215, CVE-2018-10562, CVE-2020-8515 등
- 지리적 분포: 동아시아(한국, 중국, 일본), 북미, 유럽

봇넷 개요

봇넷 주요 특징 활동 시작 위협 수준
Aisuru HTTP Flood 특화 2024년 중반 중간
Kimwolf UDP 증폭 공격 2024년 하반기 중간
JackSkid DDoS + 암호화폐 채굴 2024년 말 높음
Mossad P2P 기반, 고도화 2025년 초 높음

주요 공격 벡터

1. 무차별 대입 (Brute Force)

  • 기본 비밀번호 공격 (admin/admin, root/12345 등 100~2,000개 조합)
  • Telnet(23), SSH(22), HTTP(80) 포트 타겟팅

2. 취약점 악용

  • CVE-2017-17215 (Huawei HG532 라우터)
  • CVE-2018-10562 (Dasan GPON 라우터)
  • CVE-2021-36260 (Hikvision 카메라)
  • CVE-2020-8515 (DrayTek Vigor 라우터)
  • CVE-2023-1389 (TP-Link Archer AX21)
  • CVE-2023-28771 (QNAP NAS)
  • CVE-2023-40779 (D-Link DIR-846W)

3. 전파 방식

  • LAN 스캔
  • P2P 전파 (Mossad)
  • SMB/FTP 약점 악용 (Kimwolf)

1. Aisuru 봇넷 분석

1.1 기술 분석

악성코드 특성
- 코드베이스: Mirai v2 변형
- 실행 파일 크기: 80-120KB (MIPS, ARM, x86 아키텍처)
- 암호화: C&C 통신은 AES-256 암호화
- 기능: DDoS 공격, 포트 스캔, 취약점 스캔

감염 방식
1. 무차별 대입 공격 (Brute Force)
2. 취약점 악용 (CVE-2017-17215, CVE-2021-36260, CVE-2020-10189)
3. 자동 전파 (LAN 스캔, P2P 전파)

C&C 서버 통신
- 프로토콜: TCP + 암호화
- 포트: 443 (HTTPS 위장)
- 하트비트: 30초 간격

1.2 공격 벡터

공격 유형 설명 영향
HTTP Flood 다양한 User-Agent 사용 웹 서비스 마비
UDP Flood 패킷 위조 발송 대역폭 고갈
TCP SYN Flood SYN 패킷 폭주 연결 리소스 고갈
DNS Amplification DNS 서버 악용 증폭 공격

1.3 영향받는 디바이스

디바이스 유형 영향받는 펌웨어/버전
IoT 카메라 Hikvision, Dahua (2021 이전 펌웨어)
소형 라우터 Huawei, TP-Link, Netgear
NAS 장치 QNAP, Synology (특정 버전)
DVR 다수 제조사 기본 설정

2. Kimwolf 봇넷 분석

2.1 기술 분석

악성코드 특성
- 코드베이스: Mirai + Gafgyt 하이브리드
- 실행 파일 크기: 150-200KB
- 멀티아키텍처: MIPS, ARM, SH4, x86, PPC
- 난독화: UPX 패커 사용

감염 방식
1. 무차별 대입 공격 (500개 이상 인증 정보)
2. 취약점 악용 (CVE-2018-10562, CVE-2020-8515, CVE-2022-26258)
3. 파일 공유 전파 (SMB/FTP 약점)

C&C 서버 통신
- 프로토콜: UDP (연결 없는 통신)
- 포트: 53 (DNS 위장) / 8443 (대체)
- 하트비트: 60초 간격
- 도메인 생성 알고리즘 (DGA): 날짜 기반 도메인 생성으로 블랙리스트 회피

2.2 공격 벡터

공격 유형 설명 영향
UDP Flood 대규모 UDP 패킷 발송 대역폭 고갈
UDP Amplification NTP, SSDP, Chargen 악용 증폭 공격
GRE Flood GRE 터널 패킷 폭주 VPN/네트워크 장애
ICMP Flood Ping Flood 네트워크 혼잡

2.3 영향받는 디바이스

디바이스 유형 영향받는 펌웨어/버전
GPON 라우터 Dasan ZTE F660, F609
소기업용 라우터 DrayTek Vigor 2960, 3900
NAS QNAP QTS 4.3.x 이하
게이밍 라우터 다수 제조사

3. JackSkid 봇넷 분석

3.1 기술 분석

악성코드 특성
- 코드베이스: Mirai + XMRig 마이너 통합
- 실행 파일 크기: 300-500KB (마이너 포함)
- 아키텍처: ARM, MIPS, x86
- 영속성: /etc/init.d, /etc/rc.d 자동 시작 등록

감염 방식
1. 무차별 대입 공격 (1,000개 이상 인증 정보)
2. 취약점 악용 (CVE-2020-8441, CVE-2021-27850, CVE-2022-30525)
3. 약한 암호화 (WPA2 PSH 약한 암호)

C&C 서버 통신
- 프로토콜: TCP + TLS 1.2
- 포트: 8080 (HTTP 위장)
- 하트비트: 45초 간격
- 마이닝 풀 연결: Stratum 프로토콜 사용, Monero (XMR) 채굴

3.2 공격 벡터

공격 유형 설명 영향
DDoS (혼합) HTTP/UDP/TCP 조합 서비스 거부
암호화폐 채굴 XMRig 마이너 실행 시스템 리소스 소모
데이터 절취 C&C로 데이터 전송 정보 유출
백도어 설치 영구적 원격 접근 지속 감염

3.3 영향받는 디바이스

디바이스 유형 영향받는 펌웨어/버전
VPN 라우터 Cisco RV320, RV325
홈 라우터 Netgear R6400, R7000
UTM 방화벽 Zyxel USG FLEX
Linux 서버 취약한 SSH 설정

4. Mossad 봇넷 분석

4.1 기술 분석

악성코드 특성
- 코드베이스: Mirai 최신 변형 + P2P 레이어
- 실행 파일 크기: 250-350KB
- 아키텍처: MIPS, ARM, x86, PPC
- 고급 기능: 탐지 회피 (sandbox detection), 자기 파괴 코드, 랜덤화 (anti-debugging)

감염 방식
1. 무차별 대입 공격 (2,000개 이상 인증 정보)
2. 취약점 악용 (CVE-2023-1389, CVE-2023-28771, CVE-2023-20073, CVE-2023-40779)
3. 수동 전파 (SSH 키 훔쳐서 접속)

C&C 서버 통신
- 프로토콜: P2P + 중앙 서버 하이브리드
- 네트워크: Kademlia DHT 기반 P2P
- 하트비트: 20초 간격
- 명령 전파: P2P 브로드캐스트로 빠른 명령 전달, C&C 서버가 다운되어도 봇넷 유지

4.2 공격 벡터

공격 유형 설명 영향
HTTP Flood (Layer 7) 고도화된 HTTP 요청 웹 서비스 마비
TCP SYN Flood 다양한 IP 위조 방화벽/IPS 우회
Application Layer Slowloris, Slow Post 연결 리소스 고갈
봇넷 동기화 P2P 기반 동시 공격 타겟에 집중 공격

4.3 영향받는 디바이스

디바이스 유형 영향받는 펌웨어/버전
Wi-Fi 6 라우터 TP-Link Archer AX21
NAS QNAP QTS 5.x 초기 버전
VPN 게이트웨이 Cisco RV340, RV345
스마트 허브 다수 IoT 허브

5. 공통점 및 차이점 분석

5.1 공통점

특성 설명
Mirai 기반 모든 봇넷이 Mirai 소스 코드에서 파생
기본 인증 악용 admin/admin, root/12345 등
멀티아키텍처 MIPS, ARM, x86 지원
DDoS 공격 대규모 서비스 거부 공격 수행

5.2 차이점

특성 Aisuru Kimwolf JackSkid Mossad
주요 공격 HTTP Flood UDP Flood DDoS + 채굴 P2P 기반
기능 순수 DDoS 증폭 공격 마이닝 포함 고급 기능
C&C 중앙집중형 DGA 사용 TLS 암호화 P2P 하이브리드
영속성 낮음 중간 높음 매우 높음
탐지 회피 기본 UPX 난독화 여러 기법 고도화

6. 취약점 분석

6.1 주요 악용 취약점

CVE ID 영향받는 장비 설명 봇넷
CVE-2017-17215 Huawei HG532 원격 코드 실행 Aisuru
CVE-2018-10562 Dasan GPON 인증 우회 Kimwolf
CVE-2021-36260 Hikvision 원격 코드 실행 Aisuru
CVE-2020-8515 DrayTek Vigor 인증 우회 Kimwolf
CVE-2020-10189 DVR 장치 원격 코드 실행 Aisuru
CVE-2022-26258 ZTE 라우터 버퍼 오버플로우 Kimwolf
CVE-2020-8441 Cisco RV320 원격 코드 실행 JackSkid
CVE-2023-1389 TP-Link AX21 원격 코드 실행 Mossad
CVE-2023-28771 QNAP NAS 인증 우회 Mossad
CVE-2023-40779 D-Link DIR-846W 원격 코드 실행 Mossad

6.2 완화 조치

취약점 패치

CVE ID 영향받는 장비 패치 버전
CVE-2023-1389 TP-Link Archer AX21 1.1.4 이상
CVE-2023-28771 QNAP NAS QTS 5.0.x / QuTS hero h5.0.2 이상
CVE-2021-36260 Hikvision 카메라 2021-09-30 이상 펌웨어
CVE-2018-10562 Dasan GPON 1.0.17 이상

7. 지리적 분포 및 활동 트렌드

7.1 지리적 분포

지역 주요 활동 타겟
동아시아 매우 높음 한국, 중국, 일본
북미 높음 미국, 캐나다
유럽 중간 독일, 영국, 프랑스
동남아 중간 인도네시아, 태국
남미 낮음 브라질, 아르헨티나

7.2 활동 트렌드

2024년:
  Q2: Aisuru 등장, 웹 서비스 공격 집중
  Q3: Kimwolf 활성화, UDP 증폭 공격 증가
  Q4: JackSkid 등장, 마이닝 기능 추가

2025년:
  Q1: Mossad 등장, P2P 기능 도입
  Q2: 4개 봇넷 모두 활발히 활동
  Q3: 봇넷 간 경쟁 (IoU 토너먼트)
  Q4: 통합 공격 시도

2026년:
  Q1: 고도화된 공격 패턴 등장

8. 방어 및 대응 전략

8.1 개인 사용자

즉시 조치
1. IoT 디바이스 펌웨어 업데이트
2. 기본 비밀번호 변경 (복잡한 비밀번호 16자 이상)
3. 불필요한 포트 차단 (Telnet 23, HTTP 80)
4. 네트워크 분리 (IoT 디바이스용 격리된 네트워크)

정기적 모니터링
- 네트워크 트래픽 확인
- 이상 활동 감시

8.2 기업/조직

예방
1. IoT 보안 정책 수립
2. 정기적 펌웨어 업데이트
3. 네트워크 분리 구현 (VLAN, DMZ)

탐지
1. IoT 보안 모니터링 시스템 도입
2. 행동 기반 이상 탐지
3. DDoS 보호 서비스 활용

대응
1. 사고 대응 계획 수립
2. 법적 대응 준비
3. 보안 커뮤니티 정보 공유

8.3 네트워크 방어 예시

# 방화벽 설정 예시 (iptables)
iptables -A INPUT -p tcp --dport 23 -j DROP  # Telnet 차단
iptables -A INPUT -p tcp --dport 80 -s <신뢰IP> -j ACCEPT  # HTTP 제한
iptables -A INPUT -p tcp --dport 22 -s <신뢰IP> -j ACCEPT  # SSH 제한

9. 탐지 방법

이상 징후

  • 🚨 CPU 사용량 90% 이상 (Idle 상태에서)
  • 🚨 네트워크 아웃바운드 트래픽 급증
  • 🚨 알 수 없는 프로세스 실행
  • 🚨 IoT 장치 느려짐

탐지 도구

  • netstat -tulnp: 열린 포트 확인
  • top -b -n 1 | head -20: CPU 사용률 확인
  • iptables -L -v -n: 네트워크 트래픽 확인
  • IoT 보안 모니터링 솔루션 (예: AWS IoT Device Defender, Microsoft Defender for IoT)

10. 향후 위협

단기 예상 (3-6개월)

  1. 공격 볼륨 증가: IoT 디바이스 수 증가로 봇넷 규모 확대, 최대 10 Tbps DDoS 공격 예상
  2. 새로운 취약점 악용: 0-day 취약점 먼저 악용 시도, 주요 IoT 제조사에 집중
  3. 다중 벡터 공격: 여러 봇넷이 협동하여 동시 공격, DDoS + 채굴 + 랜섬웨어 결합

중기 예상 (6-12개월)

  1. P2P 봇넷 확산: Mossad의 성공으로 P2P 방식 도입, C&C 서버 차단 효과 감소
  2. AI 기반 타겟팅: 머신러닝으로 취약 디바이스 자동 식별, 정교한 공격 타이밍 계산
  3. 암호화폐 공격 확대: JackSkid 모델 확장, 랜섬웨어와 결합된 공격

장기 예상 (1-2년)

  1. IoT 봇넷 플랫폼화: BaaS (Botnet as a Service) 모델, 공격 서비스 상업화
  2. 공급망 공격: IoT 장치 제조 공정 감염, 출시 전 백도어 심기
  3. 5G IoT 봇넷: 5G 연결 IoT 디바이스 악용, 대규모 고속 공격

11. 결론 및 요약

11.1 주요 발견

  1. 4개 IoT 봇넷(Aisuru, Kimwolf, JackSkid, Mossad)이 활발히 활동 중
  2. 모두 Mirai 기반으로 IoT 디바이스 감염

  3. 주요 공격 벡터: DDoS, 일부는 채굴 포함

  4. 취약점 악용이 핵심

  5. 10개 이상의 CVE가 자주 악용됨

  6. 특히 취약한 라우터, 카메라, NAS 장치

  7. 지리적 분포: 동아시아 집중

  8. 한국, 중국, 일본이 주요 타겟
  9. 북미, 유럽에도 영향

11.2 위협 평가

봇넷 위협 수준 이유
Mossad 높음 P2P 기능, 고도화된 탐지 회피
JackSkid 높음 다중 공격 벡터, 채굴
Kimwolf 중간 증폭 공격, DGA 사용
Aisuru 중간 순수 DDoS, 기본적 기능

11.3 권장 조치

즉시:
- IoT 디바이스 펌웨어 업데이트
- 기본 비밀번호 변경
- 불필요한 포트 차단

단기 (3개월):
- IoT 보안 정책 수립
- 네트워크 분리 구현
- DDoS 보호 솔루션 도입

장기 (1년):
- IoT 보안 가이드라인 준수
- 정기적 보안 교육
- 보안 커뮤니티 정보 공유

12. 추가 리소스

🔍 취약점 데이터베이스:
- NVD (National Vulnerability Database)
- CVE Details

🛡️ 대응 가이드:
- CISA KEV Catalog
- US-CERT Alerts

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9