Botnet

Ein Botnet ist eine Sammlung von Geräten, darunter auch Server, PCs, Mobilgeräte und IoT-Geräte, die über das Internet verbunden sind und von gemeinsam genutzter Malware infiziert und gesteuert werden. In der Regel wird ein System Teil eines Botnets, ohne dass der Benutzer es überhaupt merkt. Mit den gekaperten Geräten können Denial-of-Service-Angriffe ausgeführt, Daten gestohlen oder es kann Spam gesendet werden - sogar der Fernzugriff auf das lokale Netzwerk eines Geräts ist möglich.

Die Architektur von Bot-Netzwerken hat sich im Laufe der Zeit weiterentwickelt und an neuere Sicherheitssysteme angepasst, damit sie nicht erkannt werden und keine Störungen verursachen. Traditionell werden Bot-Programme als Clients konstruiert, die über vorhandene Server kommunizieren. Viele neuere Botnets setzen für die Kommunikation jedoch auf vorhandene Peer-to-Peer-Netzwerke. Diese P2P-Bot-Programme haben die gleichen Funktionen wie Botnets, die im Client-Server-Modell betrieben werden, kommunizieren aber direkt miteinander, sodass kein zentraler Server erforderlich ist.

Funktionsweise von Botnets

Über Botnets wird Spam per E-Mail verbreitet, es werden Click-Fraud-Angriffe gemacht und DDoS-Angriffe gestartet.Dafür durchsucht Botnet-Malware das Internet immer wieder nach ungeschützten Systemen oder IoT-Geräten, statt auf Einzelpersonen oder Unternehmen abzuzielen, um so viele Geräte wie möglich zu infizieren. Die Rechenleistung und Ressourcen eines großen Botnets werden genutzt, um Aufgaben zu automatisieren. Der einzelne Gerätebesitzer merkt nichts davon. Das Botnet bleibt durch eine Reihe von Vorgehensweisen verborgen. Eine der Üblichsten ist es, Malware im Huckepack auf einem Gerätebrowser zu verbreiten. Da nur ein kleiner Teil der Ressourcen des Geräts genutzt wird, ist die Zunahme an Traffic zu klein, als dass Benutzer sie bemerken würden.

Weil von jedem gekaperten Gerät nur so wenig Rechenleistung genutzt wird, brauchen Botnets sehr viele Geräte (manchmal sind es mehrere Millionen), um einen gewünschten Effekt auf ein beabsichtigtes Ziel zu erreichen.

Architektur eines Botnets

Botnet-Infektionen werden regelmäßig durch Malware verbreitet. Diese scannt Systeme oder Geräte auf häufig auftretende Schwachstellen wie veraltete Betriebssysteme oder offene Firewalls. Ziel dabei ist es, in so viele Systeme wie möglich einzudringen.

Sobald das Botnet-Netzwerk die gewünschte Größe erreicht hat, steuern Angreifer die Bots auf zwei Arten:

• Client/Server-Ansatz (Standard): Ein Command-and-Control-Server sendet automatisierte Anweisungen an alle infizierten Systeme im Botnet. Die Kommunikation kann dabei auf verschiedene Weise weitergeleitet werden: über einen IRC-Kanal, über einfaches HTML oder mit einem VPN. Da Bots so programmiert werden können, dass sie inaktiv bleiben, um keinen Verdacht zu schöpfen, ist es durchaus schwierig, sie zu erkennen. Sie warten auf Befehle und „wachen auf“, um bösartige Aktivitäten zu starten.
• Peer-to-Peer-Ansatz: Dieser moderne Ansatz findet Einsatz, um von Strafverfolgungsinstanzen oder Netzwerksicherheitssystemen unbemerkt zu bleiben. Hier lösen Peer-to-Peer-Bots das Problem, dass Command-and-Control-Domains und -Server als Ziel fungieren, indem sie über ein dezentralisiertes Netzwerk kommunizieren. Alle Bots sind direkt miteinander verbunden, sodass kein zentrales Kommunikationssystem notwendig ist.

Bekannte Botnet-Angriffe

• Zeus: Eine der am weitesten verbreiteten Formen von Malware, die es heute gibt. Zeus basiert auf einem Trojaner-Programm, das angreifbare Systeme infiziert, indem es sich als harmlose Software ausgibt.
• Srizbi: War einmal das größte Spam-Botnet der Welt. Srizbi wird allgemein als „Ron Paul Spam Botnet“ bezeichnet und war mal für fast 60 Milliarden Nachrichten pro Tag verantwortlich. Während seines Höhepunkts gingen knapp die Hälfte aller E-Mail-Spam-Mails auf sein Konto.
• Gameover Zeus: Dieses Botnet ging nach dem Peer-to-Peer-Ansatz vor und erschwerte es Strafverfolgungsbehörden und Sicherheitsanbietern, das Netzwerk zu lokalisieren und auszuschalten. Infizierte Bots verwendeten einen Algorithmus zur Domain-Generierung, um miteinander zu kommunizieren.
• Methbot: Läuft auf ca. 800 bis 1200 dedizierten Servern in Rechenzentren in den USA und den Niederlanden. Die infizierten Server erzeugen falsche Klicks und Mausbewegungen und fälschen Anmeldungen bei Social-Media-Konten, die als legitime Benutzer erscheinen.
• Mirai: Konzipiert, um das Internet nach ungesicherten Geräten zu durchsuchen. Sobald ein offenes Gerät identifiziert wurde, versucht die Malware, sich mit einer Reihe gängiger Passwörter anzumelden. Wenn das nicht funktioniert, setzt Mirai Brute-Force-Methoden ein, um das Passwort zu erraten.

Die zunehmende Verbreitung von Malware für Router und IoT-Geräte hat es Benutzern in der letzten Zeit sehr erschwert, Botnet-Angriffe zu umgehen. Diese Systeme haben häufig - wenn überhaupt - schwache Passwörter, sodass sie leicht zugänglich sind. Bei vielen IoT-Geräten können Benutzer die Sicherheitseinstellungen nicht einmal direkt ändern. Das macht es extrem schwer, Angriffe zu verhindern. Wenn Hersteller die Firmware eines Geräts nicht aus der Ferne aktualisieren können, um Sicherheitslücken zu beheben, ist eine Rückrufaktion ihre einzige Chance.

In der Vergangenheit wurden Botnet-Angriffe durch Konzentration auf die Command-and-Control-Quelle vereitelt. Strafverfolgungsbehörden und Sicherheitsanbieter verfolgten hierfür die Kommunikation der Bots zurück bis zum Standort der Command-and-Control-Server und zwangen dann den Dienstanbieter, sie abzuschalten. Mit der Weiterentwicklung von Botnet-Netzwerken haben sich auch die Methoden verbessert, um sie zu finden. Dazu gehört das Erkennen und Entfernen von Botnet-Malware-Infektionen auf den Quellgeräten, das Erkennen und Replizieren der Peer-to-Peer-Kommunikationsmethoden sowie bei Ad Fraud das Unterbrechen der einzelnen Monetarisierungsschemas statt der zugrunde liegenden kriminellen Infrastruktur.

Zugehörige Begriffe

• Malware
• Ransomware
• DDoS

Weiterführende Ressourcen

• Wikipedia: Botnet
• Botnet- und Spyware-Schutz in der Firewall
• Schutz vor Botnets und Spyware für Web-Traffic konfigurieren
• Blog: Kelihos Botnet Spam Sampling (Englisch)

Wie Barracuda Sie unterstützen kann

Barracuda CloudGen Firewalls sind speziell für den Schutz von Netzwerken vor Botnets und Spyware ausgelegt. Dabei wird überwacht, auf welche Domains die Clients im Netzwerk zugreifen, wodurch die Barracuda CloudGen Firewall erkennen kann, welche Rechner ggf. infiziert sind. Wird auf böswillige Sites oder Domains zugegriffen, kann die Firewall den Traffic auf eine falsche IP-Adresse umleiten, um die Bedrohung zu analysieren.

Haben Sie weitere Fragen zum Thema Botnets? Wir freuen uns auf Ihre Nachricht!