RUB » Stabsstellen » Stabsstelle für Informationssicherheit

Bild1 Bild3 Bild2 Bild4

Botnetze

Was sind Bots?

Man versteht unter einem Bot ein Programm, das selbständig ohne Benutzerinteraktion arbeitet und ferngesteuert sich wiederholende Aufgaben durchführt. Kriminelle im Internet setzen sie dazu ein, illegale Aktionen durchzuführen. Dazu werden zigtausende bis zu mehreren Millionen mit Bots infizierten PCs zu sogenannten Botnetzen zusammengeschlossen. Erst Anfang 2015 wurde der seit 2010 aktive Botnetz Ramnit aufgelöst, der Schätzungen zufolge sich aus bis zu 3 Millionen Bots zusammengesetzt hat. Das unter dem Namen Bredolab bekannte Botnetz bestand aus bis zu 30 Millionen infizierten PCs und wurde Ende 2010 abgeschaltet worden. Dieses Netzwerk konnte bis zu 3,6 Milliarden Spammails pro Tag versenden.

Täglich werden tausende Botnetze gezählt. Über die Botnetz-Übersichtskarteexterner Link des IT-Sicherheitsunternehmens Trend Micro kann man sich informieren, wo auf der Welt und wie viele bösartige Netzwerkaktivitäten die letzten Tage stattgefunden haben. Laut einer Studie von Trend Micro ist Deutschland im Ländervergleich auf Platz 3 mit den meisten mit Bots infizierten Computern.

Wie geschieht die Infektion mit einem Bot?

Die Schadsoftware kann über vielfältige Wege auf ein System gelangen. Beispielsweise klickt der Benutzer einen Link in einer E-Mail, einem Blog oder einer Facebook-Nachricht an oder öffnet einen E-Mail-Anhang. Der Link führt auf eine Webseite, über die der Schadcode geladen wird. Durch Ausnutzung von Sicherheitslücken erfolgt die Installation des Bots automatisch (Drive-by-Download) auf dem Computer, wovon der Benutzer üblicherweise nichts merkt. Schadsoftware kann sich auch in Werbebannern (Malvertising) befinden. Systeme, die mit Bots infiziert sind, bezeichnet man als Zombies oder Drohnen.

Aufbau des Botnetzes

Ein Botnetz wird in der Regel von einem Master-Server (Command&Control-Server) gesteuert. Dieser versorgt die Zombies zeitgleich mit „Aufgaben“ oder auch Updates. Da ein Botnetz durch Abschalten des Master-Servers stillgelegt werden kann, sind diese in der Regel redundant über verschiedene Länder mit unterschiedlichen Rechtssystemen verteilt. Zum Schutz der Command&Control-Server werden inzwischen ausgefeilte Techniken angewendet (z.B. Fast Fluxexterner Link).

Ein im Oktober 2016 durchgeführter DDoS-Angriff zeigt den möglichen Ausmaß eines Botnetzes. Der Angriff zielte auf den Netzwerkdienstleister Dyn ab, dessen Kunden zahlreiche populäre Internetdienste wie Twitter, Spotify oder eBay sind, was zur Folge hatte, dass die Seiten für einige Stunden nur eingeschränkt bzw. gar nicht erreichbar waren. Der durch den Botnetz verursachte Traffic erreichte eine Datenrate von rund einem Terabit pro Sekunde und wird dem Mirai-Botnetz zugeschrieben. Es handelt sich um ein Netzwerk, dass sich größtenteils aus infiltrierten Heimgeräten mit Webzugriff wie Webcams, Babyfone und Router zusammensetzt.

Botnetze als Geschäftsidee

Der Betrieb von Botnetzen lohnt sich für Kriminelle. Sie sammeln darüber persönliche Daten wie Konto- oder Zugangsinformationen zu Internetshops oder Banken. Diese werden entweder an Interessierte weiter verkauft oder auch direkt zu betrügerischen Transfers genutzt. Das Einsammeln persönlicher Informationen geschieht entweder direkt am infizierten System oder durch massenhafte Versendung von Phishing-E-Mails über das Botnetzwerk.

Eine weitere Nutzungsvariante sind DDoS (Distributed Denial of Service) Angriffe. Dabei erhalten alle Zombies eines Netzes den Befehl, wiederholt auf einen bestimmten Server zuzugreifen. Da dies quasi zeitgleich geschieht, kann der Server die Flut von Anfragen nicht mehr bewältigen und bricht unter der Last zusammen. Auf diese Weise können Wettbewerber ausgeschaltet werden. Bereits die Androhung eines DDos-Angriffs auf z.B. Online-Wettseiten ist beliebt, um Schutzgelder zu erpressen.
Zombies innerhalb eines Botnetzes können auch als Speichermedium für rechtswidrige Materialien verwendet werden, deren Besitz unter Umständen bereits strafbar ist. Die Zombies werden damit ungewollt zu Verteilern dieser Informationen, ohne dass der Benutzer etwas davon bemerkt.

Eine weitere Einnahmequelle der Kriminellen ist zum Beispiel die zeitweise Vermietung des Botnetzes an Interessierte.
Es verwundert nicht, dass auch im Netzwerk der RUB täglich als Zombies missbrauchte Systeme auffällig werden. Zur Prävention sollten unbedingt die Hinweise zur Grundsicherung von Systemen beachtet werden. Falls Sie schon von einem Bot befallen sind, gibt es verschiedene Programme, die Bots identifizieren und entfernen können. Siehe: https://www.botfrei.de/externer Link

PC-Grundsicherung

Autor: Martin Land

Bild: iStockphoto.com/Higyou