Botnetze: Dunkler Angriff durch Zombie-Rechner

Millionen Bots verursachen Millionenschaden

Botvarianten gibt es „wie Sand am Meer“

Von Spam-E-Mail bis betrügerischer Website: Bots und Botnetze sind eine beliebte Angriffstechnologie von Cyberkriminellen geworden. Bei beinahe allen Cyberattacken spielen sie eine Rolle. Millionen Botvarianten, die in mehreren tausend Botnetzen organisiert sind, befinden sich derzeit im Internet.

Wenngleich nach Informationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 2014 und 2015 mit Dropperbot (11.000 Infektionen) und Ramnit (3,2 Millionen Bots) zwei Botnetze abgeschaltet wurden, die auch in Deutschland aktiv waren, so ist die Bedrohungslage durch Botnetze in Deutschland als kritisch und tendenziell steigend zu bewerten. So heißt es im Bericht zur Lage der IT-Sicherheit in Deutschland 2015, dass allein in der ersten Jahreshälfte 2015 täglich bis zu 60.000 Infektionen deutscher Systeme registriert wurden. Aufgrund des hohen Marktanteils seien überwiegend Windows-Systeme von Bot-Infektionen und -Angriffen betroffen.

Trojaner im System: AKW wird Teil eines Botnetzes

Vor Kurzem wurde bekannt, dass Angreifer einen Computer im AKW Gundremmingen mit Malware infiziert hatten. Der Computer ist Teil des Systems, welches zur Lademaschine für die strahlenden Brennelemente gehört. Das Schadprogramm sollte laut Betreiber RWE ungewollte Verbindungen zum Internet herstellen. Offenbar handelte es sich hier um einen Trojaner zum Aufbau eines Botnetzes.

Aber was genau versteht man unter einem Botnetz, wie funktioniert es und wie akut ist die Bedrohungslage derzeit wirklich? Wir haben die wichtigsten Fakten rund um das bei Cyberkriminellen so beliebte „Allzweck-Werkzeug“ zusammengetragen.

Aus Computern wird eine Armee aus Robotern

Geplant sind feindliche Übernahmen Der Name Botnetz setzt sich zusammen aus den Worten Bot und Netz. Bot heißt übersetzt soviel wie Roboter. Es sollte nicht passieren, aber mitunter übernehmen Kriminelle fremde Computer und nutzen sie für ihre Zwecke. Ein einzelner ferngesteuerter Computer ist ein Bot, auch Zombie genannt. Den Zusammenschluss mehrerer infizierter Rechner bezeichnet man als Botnetz. Um ein Botnetz aufzubauen, infizieren Hacker die Computer mit einem Schadprogramm und steuern sie dann aus der Ferne. Die Steuerung erfolgt über eine Command-and-Control-Infrastruktur (C & C), die im Verborgenen abläuft. Entsprechend konfigurierte Bots schicken so genannte SYN-Pakete zum C & C-Server, so dass dieser die IP-Adressen der Zombies erhält. Mit deren Hilfe kann der Angreifer nun dem Zombie-Rechner verschlüsselte Bot-Kommandos und Daten schicken. Die Besitzer der Computer bekommen von all dem in der Regel nichts mit.

Es gibt kleinere Botnetze, die aus weniger als hundert infizierten Rechnern bestehen. Botnetze können aber auch aus mehreren Tausend, sogar Millionen Computern aufgebaut sein. Es ist kaum vorstellbar, welch enorme Rechenkapazität und Datenbandbreite für die Angreifer dann zur Verfügung steht.

Infizieren-verstecken-ausführen: Ein Bot erwacht zum Leben

Der Lebenszyklus eines Botnetzes beginnt mit der Infektion eines Computers durch die Botsoftware. Und diese gelangt auf dem gleichen Weg in den PC, wie herkömmliche Malware. Ein typischer Verbreitungsweg sind Exploits. Bei dieser Vorgehensweise werden Sicherheitslücken in Betriebssystemen oder Programmen genutzt, um den Schadcode auf den fremden Rechner zu schleusen. Eine andere Methode ist die Verteilung über E-Mail-Anhänge oder verseuchte Downloads, beispielsweise indem der Nutzer ein vermeintlich harmloses Programm aus dem Internet herunterlädt und auf seinem Rechner installiert. Stammt der Download von einer unsicheren Quelle, kann mit dem gewünschten Programm ein Trojaner mitinstalliert werden.

Sicherheitslücken werden gnadenlos ausgenutzt

War die Infizierung erfolgreich und hat der Rechner Verbindung zum Internet, meldet sich die Schadsoftware beim Botmaster. Damit sie nicht vom Nutzer entdeckt werden kann, versteckt sich die Malware außerdem im System. Zu diesem Zweck versucht sie die Antiviren-Software zu deaktivieren oder zu manipulieren. Aber auch das Nachladen weiterer Schadsoftware aus dem Internet ist möglich. So oder so: Der Bot ist jetzt einsatzbereit und wartet auf die Befehle des Botmasters. Meist lauten diese: Versand von Spam- und Phishing-Mails im ganz großen Stil. Häufig werden Botnetze aber auch für Klickbetrug, die Verteilung von Ransomware sowie für den Angriff auf andere Netzwerke durch sogenannte DDoS-Attacken, eingesetzt. Darüber hinaus spielt der Botmaster gern auch ein Update der Botsoftware auf, um ihre Entdeckung weiter zu erschweren.

In der Regel ist der Bot übrigens so lange aktiv, bis er entdeckt oder das Betriebssystem des infizierten Rechners neu installiert wird. In einigen Fällen löscht der Botmaster (meist nach getaner Arbeit) die Schadsoftware auch selbst vom Rechner, um nicht erkannt zu werden und keine Spuren zu hinterlassen.

Spam, Phishing & DDoS: Bedrohung durch Botnetze

DDoS Attacken führen zum Ausfall von Websites oder Netzinfrastrukturen Ein Botnetz bietet verschiedene Angriffsmöglichkeiten, was es zu einem der größten Sicherheitsrisiken im Internet macht. Bots und Botnetze werden häufig und gern für das Ausführen von DDoS-Attacken missbraucht. Bei solchen Angriffen versuchen kriminelle Internetseiten mit massenhaft unsinnigen Anfragen den Server lahmzulegen. Die Flut der fehlerhaften Datenpakete überlastet den Server irgendwann, so dass er gültige Anfragen nicht mehr beantworten kann und zusammenbricht.

Ein weiteres Einsatzgebiet für Botnetze ist Spamming: Ohne Wissen seines Nutzers wird der infizierte Rechner zur Spam-Schleuder, indem er massenhaft E-Mail-Nachrichten verschickt. Mit den Mails wird häufig auch Schadsoftware versendet, um so das Botnetz weiter zu vergrößern. Übrigens: Durch Spamming kann ein Rechner auf eine Blacklist gesetzt werden, wodurch er gar keine E-Mails mehr versenden kann. Kompromittierte Rechner werden häufig auch für Phishing-Attacken missbraucht: Die Bots werden zum Versenden heimtückischer E-Mails benutzt. Diese stammen von scheinbar seriösen Absendern mit unverfänglichem Anliegen – wie zum Beispiel der Hausbank – und bitten um die Eingabe der Bankdaten, um diese abzufischen. Zusätzlich werden die Bots zum Hosten illegaler Websites verwendet, mit deren Hilfe persönliche Daten gestohlen oder auf denen gestohlene Daten gesammelt werden.

Die Anfänge: Mafiaboy und die Verletzbarkeit des Internets

Anfang 2000 erlangten Botnetze erstmals Aufmerksamkeit. Damals hatte ein kanadischer Teenager mehrere Denial-of-Service-Attacken auf bekannte Webseiten durchgeführt. Der Junge, der unter dem Pseudonym Mafiaboy sein Unwesen trieb, griff über mehrere Tage hinweg unter anderem die Seiten von Yahoo, E-Trade, Dell, eBay, Amazon an und überflutete sie mit unbrauchbaren Anfragen. Schließlich stürzten die Server ab. Zwar verwendete Mafiaboy damals keine Botnetze für seine Angriffe, dennoch warnten Sicherheitsexperten anschließend, dass Botnetze eine große und nicht zu unterschätzende Gefahr für die Integrität und Stabilität des Internets bedeuten.

Unrühmliche Bekannte: Angriffe von Zeus, Mariposa und Conficker

Kaspersky Lab - 28.04.2016 Sie sollten Recht behalten. Denn mit Zeus, Mariposa, Conficker und Kelihos entstanden nur wenige Jahres später einige der bekanntesten und erfolgreichsten Botnetze. Und so unterschiedlich wie ihre Namen, so verschieden waren auch die Ziele und Opfer dieser Botnetze: Das berüchtigte Botnet Kelihos klaute zwischen 2011 und 2013 nicht nur Login-Daten, es war auch für Bitcoin-Diebstahl und Spamming im großen Stil verantwortlich. So hat Kelihos beispielsweise Millionen E-Mail-Postfächer mit Viagra-Spam-Mails bombardiert. Mariposa sammelte 2009 Daten von mehr als 800.000 Internetnutzern, unter anderem Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten. Das Botnetz soll aus 13 Millionen Rechnern aus über 190 Ländern bestanden haben.

Zeus, eigentlich Gameover ZeuS, infizierte zwischen 2009 bis 2014 weltweit 500.000 bis 1 Million Computer mit Windows Betriebssystem. Das Schädlingsnetz hatte es auf Online-Banking und Finanzdaten abgesehen: Nutzer-Accounts wurden mit zuvor erschnüffelten Login-Daten gekapert und geschädigt. Die befallenen Computer wurden aber auch zur Verbreitung von Spam verwendet. Conficker befiel insbesondere 2009 Gesundheitssysteme, Militär und Verwaltungsbehörden und legte Millionen von Computern in über 100 Ländern lahm. Conficker deaktivierte auch Sicherheitsdienste und machte damit Computer noch anfälliger für weitere Infektionen. Das vermeintlich totgeglaubte Botnetz wurde übrigens am 26. April 2016 wieder aktiv: Die Uralt-Schadsoftware zeigte sich für die Infizierung des oben erwähnten Rechners in Block B des AKW Gundremmingen verantwortlich.

Fazit: Vorsicht ist besser als Nachsicht

Die Schwierigkeit besteht darin, einen Bot-Befall zu erkennen, denn Botnetze überwinden Standardsicherheitsmechanismen oder machen sie zumindest unbrauchbar. Ohne Weiteres kann aber niemand aus Ihrem Rechner einen Bot machen. Dies ist nur über eine erfolgreich installierte Schadsoftware möglich. Schützen kann ein ganzes Bundle an Sicherheitsmechanismen, bestehend aus einer Antiviren-Software, die permanent und aktuell den Rechner überwacht, ergänzt um eine verhaltensüberwachende Software sowie die Installation regelmäßiger Sicherheits-Updates, Spam-Filter und einer Desktop-Firewall. Bleiben Sie darüber hinaus bei E-Mails unbekannter Absender misstrauisch, die Sie zu sofortigen Handlungen auffordern und laden Sie Software ausschließlich von vertrauenswürdigen, Ihnen bekannten Quellen herunter.

Cyberattacken: Katastrophal erfolgreich

LesetippIn diesem Artikel beschäftigen wir uns mit den folgenschwersten Angriffen im Cyberkrieg. Cyberattacken legen Systeme lahm und werden immer professioneller. Kleinkriminalität, Wirtschaftsspionage und militärische Operationen im Netz sind kaum zu unterscheiden.

geschrieben von: Robert Becker

Robert Becker

Robert Becker ist bei GBS als Product Manager Security & Collaboration tätig. Hier verantwortet er die Verbindung der Produktwelten und ist gleichzeitig Schnittstelle zwischen Produktmanagement, Sales und Marketing.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.