bluebit

Botnetz

Ein Botnetz besteht aus Computern, die durch eine Schadsoftware verseucht wurden. Diese Computer werden Bots oder Zombies genannt und können durch einen Botmaster empfehle empfangen, die die Bots dann durchführen. Ein Botnetz kann aus beliebig vielen Bots bestehen und auf unterschiedliche Arten auf den Computer gelangen und im schlimmsten Fall großen Schaden an dessen Daten anrichten. Botnetze sind eine der größten Ressourcen von Hackergruppen, sie erweitern sich selbst und sind nicht nur für die befallenen User schädlich, sondern Botnetze können auch dazu genutzt werden Denial of Service Attacken durchzuführen um ganze Server lahmzulegen.

Entstehung eines Botnetzes

Ein Computer kann auf unterschiedliche Art und Weise als Bot in ein Botnetz integriert werden. Der umsichtige User kann das Risiko aber deutlich minimieren. Die Gefahrenherde sind:

  • E-Mails – Jeden Tag werden schätzungsweise 120 Milliarden Spam-Mails verschickt. Viele von ihnen besitzen neben betrügerischen Inhalte, sondern Links auf die man klicken soll, damit Schadsoftware heruntergeladen wird oder Anhänge die man herunterladen kann. Diese Bilder, Dokumente und Programme können aber auch Schadprogramme beinhalten, die den Computer verseuchen. Auch Botnetz-Betreiber nutzen Spam-Mails um ihre Botnetze auszuweiten.
  • Downloads – Hier gibt es verschiedene Möglichkeiten wie die Schadsoftware auf den Computer gelangt. Entweder durch das Anklicken von Links und Werbung, was zum Herunterladen der Schadsoftware führt oder dadurch, dass eine Sicherheitslücke im Browser, einem Programm oder Betriebssystem genutzt wird um die Schadsoftware auf den Computer aufzuspielen, wenn zum Beispiel eine Seite aufgerufen wird (Drive-by- Download) und ihn zu einem neuen Bot innerhalb des Botnetzes zu machen. Manche dieser Schadprogramme können dabei dafür sorgen, dass sie sich von selbst weiterverbreiten. Diese Art von Exploit wirrd Computerwurm genannt.

Steuerung von Botnetzen

Botnetze verwenden verschiedene hierachische Strukturen, an deren Ende aber immer der Botmaster sitzt. Dieser kann direkt auf den infizierten Bot-Rechner zugreifen oder ihm Befehle senden etwas zu tun. Die Kommunikation des Botnetzes findet dabei über Internetprotokolle statt, die jeder Computer nutzt um das Internet verwenden zu können. Die wohl verbreitetste Art von Botnetzen ist dabei das IRC (Internet Relay Chat) - Botnetz. Sie sind einfach einzurichten und zu verwalten. Die Befehle werden direkt ausgeführt und eine Bestätigung an den Botmaster gesandt. Dabei kann der Botmaster entweder an das gesamte Botnetz seine Befehle richten oder nur einzelne individuelle Computer auswählen. Ist ein Computer infiziert, so nimmt er über einen IRC- Channel Kontakt zu einem IRC-Server auf. Der Computer sagt damit, dass er Teil des Botnetzes geworden ist und übergibt dem Botmaster die Kontrolle über den Computer. Da in vielen Botnetzen die Steuerung zentral durch einen Command & Control-Server geschieht reicht es meistens aus diese Zentrale zu zerstören. Dazu muss man den Botmaster ausfindig machen und seine Seite der Verbindung mit dem Botnetz kappen. Danach sind die Bots mit Marionetten zu vergleichen, deren Schnüre zerschnitten wurden. Es ist aber leider schwer einen Bot nachzuverfolgen, da sich dessen Nachrichten unter die Nachrichten des Users schmuggeln, die dieser abgibt. Gleichzeitig nutzt der Bot die meiste Zeit nur einen kleinen Anteil der Computerleistung um seine Existenz zu verschleiern und nicht das ganze Botnetz zu verraten. Man benötigt also eine Menge Ressourcen und in der Vergangenheit haben Gesetzeshüter mit Viren- Schutzfirmen zusammengearbeitet um der Bedrohung Herr zu werden.

Funktion eines Botnetzes

Ein Botnetz besteht aus betroffenen Computern, den sogenannten Bots, die der Botmaster, der Betreiber des Botnetzes, kontrollieren kann. Ein Botnetz kann auf verschiedene Arten genutzt werden:

  • Ausweitung des Botnetzes: Die Bots des Botnetzes versenden Viren, Trojaner und andere Schadprogramme an andere Systeme, die mit ihnen Kontakt aufnehmen. Dadurch wird versucht auch sie zu infizieren und zu Bots des Botnetzes zu machen.
  • Spam-E-Mails: Die Bots senden weitere E-Mails. In diesen kann ebenfalls der Botcode enthalten sein. Botmaster bieten ihre Botnetze auch Betrügern an und lassen ihr Botnetz dann im Auftrag des Betrügers falsche Gewinnspiele und ähnliches verschicken.
  • DDoS-Attacken: Dies ist die häufigste Nutzung von Bot-Netzen. Botmaster nutzen ihre Botnetze um Webseiten lahmzulegen. Dazu führen sie eine DdoS (Denial of Service) -Attacke aus, die dafür sorgt, dass der Server überlastet und die Webseite oder der Server nicht mehr erreichbar sind. Solche Angriffe wurden Beispielsweise 2016 auf das Playstation Network. Im selben Jahr machte das Botnetz Mirai von sich reden, dass diverse Plattformen und Server lahmlegte. Die Opfer werden dann von den Botmastern kontaktiert und aufgefordert eine Summe zu zahlen, damit dies nicht mehr geschieht.
  • Klickbetrug: Auf Webseiten ist häufig Werbung eingebunden. Wird diese angeklickt, so erhalten die Betreiber der Seite einen kleinen Betrag dafür. Botmaster können diese Anklickzahlen in die Höhe treiben indem sie ihr Botnetz auf die Seite lenken und sie dort die Werbung klicken lassen.
  • Mining: Botnetze werden auch häufig verwendet um Kryptowährung zu generieren. Dabei müssen die Bot-Computer Aufgaben durchführen, für die der Botmaster in Kryptowährung bezahlt wird.
  • Erpressung: Der Botmaster hat Zugriff auf die Daten seiner Bots und kann mit diesen Daten die User der Bots erpressen. Entweder durch Daten auf die sie zugreifen können oder dadurch, dass sie Daten für den User sperren.
  • Diebstahl von Bankdaten: Die Daten sind nicht sicher vor dem Botmaster. Sind entsprechende Daten auf dem Computer, so erhält der Botmaster Zugriff auf die Bankkonten und Kreditkarten der Opfer.

Gegenmaßnahmen

Die Angreifer versuchen die Gutgläubigkeit des Users auszunutzen. User, die die folgenden Dinge beachten senken die Wahrscheinlichkeit drastisch Mitglied eines Botnetzes zu werden, da es um einiges schwerer ist in ein geschütztes System einzubrechen, wenn man dem Angreifer nicht Tür und Tor öffnet.

  • Keine dubiosen Seiten besuchen: User sollten sich nur auf Seiten aufhalten, die als Sicher eingestuft sind und denen sie vertrauen. Dadurch können Drive-by-Downloads verhindert werden.
  • Firewalls: Eine Firewall kann zwischen den Computer und das World Wide Web geschalten werden. Durch diese kann kontrolliert werden welche Daten den Computer betreten und welche Daten ihn verlassen. Hierdurch kann ein Bot von seinem Botnetz abgeschnitten werden, denn sie blockiert die Kommunikation mit dem Command & Control-Server des Botmasters und gleichzeitig wird der unbeabsichtigte Download von Software durch die Firewall gestoppt werden.
  • Neueste Browser- und System-Updates: Botnetze und andere Cyber-Angriffe nutzen Schwachstellen in Browsern, Betriebssystemen und anderen Programmen aus um sich einzuklinken. Regelmäßige Updates schliessen altbekannte Sicherheitslücken, so dass es schwieriger wird in den Computer einzudringen um ihn zu einem Teil des Botnetzes zu machen.
  • Sichere Downloadquellen: Um Botnetze und andere Schadsoftware zu vermeiden, die sich in legitimen Downloads befinden, sollten User direkt beim Hersteller nach den aktuellsten Downloads suchen. Dadurch gelangt auch wirklich nur das was man möchte auf dem Computer und muss die Daten nicht aus zweiter oder dritter Hand herunterladen. Auch gerade Raubkopien sind häufig virenverseucht und ein beliebtes Mittel um den Rechner unvorsichtiger User zu infizieren.
  • Anti-Viren-Programme: Die meisten Anti-Viren-Programme schützen gegen Botnetze und können aufspüren wenn man Teil eines Botnetzes wird oder wenn sich ein verdächtiger Download gestartet hat. Dabei muss man nicht auf kostenpflichtige Anbieter zurückgreifen, bereits viele kostenlose Anti-Viren-Programme bieten einen Schutz gegen Botnetze und deren Attacken.
  • Nicht mit administrativen Rechten surfen: Administrative Rechte werden beim regelmäßigen Surfen selten bis gar nicht gebraucht. Sollte ein Schädling durch einen Nutzer ohne administrative Rechte heruntergeladen werden, so kann er sich nicht installieren und selbst wenn, so besitzt er immer noch nicht die nötigen Berechtigungen um den Computer in einen Bot zu verwandeln.

Bereits 2015 waren, laut Anti-Botnet-Beratungszentrum des Internetverbandes Eco 40% der deutschen Computer verseucht und Teil eines Botnetzes. Dies liegt unter anderem daran, dass auf dem Großteil der Endgeräte veraltete Browser installiert worden waren. Dieser Umstand traf auf etwa 80% der 220.000 überprüften Geräte zu.

Mehr zum Thema: Botnetz