Botnets

Januar 18, 2022

Was ist ein Botnet?

Ein Botnet ist ein Netzwerk kompromittierter Rechner, die über einen C&C-Kanal (Command-and-Control) gesteuert werden. Der Betreiber der Command-and-Control-Infrastruktur, der sogenannte „Bot Herder“ (Bot-Hüter) oder „Botmaster“ (Bot-Meister), führt mit den kompromittierten Rechnern Angriffe durch, um betroffene Netzwerke zusammenbrechen zu lassen, Malware zu übertragen, Anmeldedaten zu erfassen oder rechenintensive Aufgaben auszuführen.

Ein Botnet besteht aus drei Hauptkomponenten:

  1. den Bots
  2. den C&C-Servern (Command-and-Control)
  3. dem Botnet-Betreiber

Warum führen Bedrohungsakteure Botnet-Angriffe durch?

Stellen Sie sich vor, Sie haben eine Armee von Arbeitern, die Ihnen bei der Verwirklichung Ihrer – guten oder bösen – Ziele helfen. Genau dazu dient ein Botnet den Angreifern. Ein Botnet-Angriff kann aus mehreren hundert oder über einer Million infizierten Geräten bestehen, die alle im Auftrag des Bot Herders schädlichen Code ausführen.

Um ein Botnet zu betreiben, muss der Angreifer kein Computergenie sein. Botnets können im Dark Web für etwa 30 US-Dollar gekauft oder für 10 US-Dollar pro Stunde gemietet werden (mit Rabatten für Großbestellungen). Für Angreifer, die die Dinge gern selbst in die Hand nehmen, gibt es zahlreiche Tutorials im Open Web und auf YouTube, während das Dark Web ausführlichere Lektionen für ca. 50 US-Dollar bietet.

Die Identifizierung (und somit strafrechtliche Verfolgung) von Bot Herdern ist schwierig, da sich eine Botnet-Attacke nur schwer zum C&C-Server zurückverfolgen lässt, denn der eigentliche Angriff wird durch die gekaperten Rechner im Botnet durchgeführt.

Sobald ein Angreifer die Kontrolle über ein Botnet erlangt hat, stehen ihm zahlreiche Möglichkeiten für böswillige Aktivitäten zur Verfügung. Ein Botnet kann zum Beispiel für folgende Angriffstypen genutzt werden:

1. Phishing

Botnets können Malware mithilfe von Phishing-E-Mails verteilen. Da Botnets automatisiert sind und aus vielen Bots bestehen, lässt sich der Kampf gegen eine Phishing-Kampagne mit dem gegen eine Hydra vergleichen.

2. DDoS-Angriff (Distributed Denial-of-Service)

Während eines DDoS-Angriffs sendet das Botnet eine riesige Zahl von Anfragen an einen Server oder eine Anwendung und bringt diese damit zum Absturz. DDoS-Angriffe auf der Netzwerkebene nutzen SYN-Floods, UDP-Floods, DNS Amplification und andere Techniken, die Bandbreite binden und somit dafür sorgen, dass legitime Anfragen nicht mehr bedient werden können. DDoS-Attacken auf der Anwendungsebene verwenden HTTP-Floods, Slowloris oder RUDY-Angriffe, Zero-Day-Attacken und andere Angriffstypen, die Schwachstellen in einem Betriebssystem, einer Anwendung oder einem Protokoll ausnutzen, um eine bestimmte Applikation zum Absturz zu bringen.

Viele werden sich noch an den massiven DDoS-Angriff des Botnets Mirai erinnern. Mirai ist ein IoT-Botnet, das aus hunderttausenden kompromittierten IoT-Geräten besteht und im Jahr 2016 Dienste wie OVH, DYN und „Krebs on Security“ lahmlegte.

3. Cryptojacking

Kryptowährungen werden von Rechnern „geschürft“, die digitales Geld durch die Lösung mathematischer Gleichungen verdienen. Diese Berechnungen verbrauchen jedoch sehr viel Strom – allein das Schürfen von Bitcoin verbraucht so viel Energie wie die gesamte Schweiz. Werden man alle Ausgaben zusammenrechnet, kostet das Schürfen von Kryptowährung drei Mal mehr als das Schürfen von echtem Gold. Für die Kriminellen ist es daher sehr viel sinnvoller, Andere für die Kosten aufkommen zu lassen und deren Ressourcen zu kapern.

4. Snooping

Botnets können zur Überwachung des Netzwerkdatenverkehrs genutzt werden – entweder passiv, um Informationen zu sammeln und Anmeldedaten zu stehlen, oder aktiv, um schädlichen Code in HTTP-Datenverkehr einzuschleusen. Beim DNS-Snooping (Domain Name System) werden IP-Adressen Domänennamen zugeordnet, die sich in der dynamischen Datenbank oder einer lokalen Liste befinden. Die Angreifer wollen so herausfinden, welche Abfragen gemacht werden, welche Domänen sich am besten als Ziel für einen Cache-Poisoning-Angriff eignen oder welche Typosquatting-Domänen sich für eine Registrierung lohnen würden.

5. Bricking

Bei einem Bricking-Angriff wird die Software eines unzureichend geschützten IoT-Geräts gelöscht, wodurch es unbrauchbar gemacht oder auch „gebrickt“ wird. Cyberkriminelle nutzen Bricking im Rahmen mehrstufiger Angriffe, in denen sie die Geräte unbrauchbar machen, um jegliche Spuren zu verwischen, die sie während des primären Angriffs hinterlassen haben könnten. Bricking macht es den forensischen Analysten schwer bis unmöglich, Reste der Botnet-Malware zu finden, die Hinweise darauf liefern könnten, wie und warum der Angriff durchgeführt wurde und wer dahinter steckt.

6. Spambots

Spambots erfassen E-Mail-Adressen von Webseiten, Foren, Gästebüchern, Chaträumen und vielen anderen Orten, an denen Benutzer ihre Kontaktdaten angeben. Die gesammelten E-Mail-Adressen werden dann genutzt, um Konten zu erstellen und Spam-Nachrichten zu verschicken. Vermutlich stammt über 80 Prozent des Spam-Aufkommens von Botnets.

Welche Botnet-Typen gibt es?

Botnets lassen sich in zwei Gruppen einteilen:

  • Zentralisiert, Client-Server-Modell
  • Dezentralisiert, Peer-to-Peer-Modell (P2P)

Das zentralisierte Modell

visual depiction of a centralized botnet structure

Die erste Botnet-Generation nutzte eine Client-Server-Architektur, bei der ein Command-and-Control-Server das gesamte Botnet steuerte.

Aufgrund der einfachen Struktur werden zentralisierte Botnets auch heute noch genutzt. Im Vergleich zum P2P-Modell liegt der Nachteil eines zentralisierten Modells darin, dass es einen einzigen Ausfallpunkt (Single Point of Failure) besitzt.

Die beiden wichtigsten C&C-Kommunikationskanäle sind IRC und HTTP:

IRC-Botnet (Internet Relay Chat)

IRC-Botnets zählen zu den frühesten Botnet-Typen und werden aus der Ferne über einen vorkonfigurierten IRC-Server und -Channel gesteuert. Die einzelnen Bots verbinden sich mit dem IRC-Server und warten dann auf die Befehle des Bot Herders.

HTTP-Botnet

Ein HTTP-Botnet ist ein webbasiertes Botnet, durch das der Bot Herder Befehle mithilfe des HTTP-Protokolls sendet. Die Bots suchen den Server regelmäßig auf, um Updates und neue Befehle zu erhalten. Mit dem HTTP-Protokoll kann der Bot Herder seine Aktivitäten als normalen Web-Datenverkehr tarnen.

Das dezentralisierte Modell

visual depiction of a p2p botnet architecture

Die neue Generation von Botnets beruht auf Peer-to-Peer-Technologie, bei der Bots Befehle sowie Informationen untereinander austauschen und den C&C-Server nicht direkt kontaktieren.

P2P-Botnets lassen sich schwerer umsetzen als IRC- oder HTTP-Botnets, sind jedoch widerstandsfähiger, da sie nicht auf einen einzelnen zentralen Server angewiesen sind. Stattdessen arbeitet jeder Bot unabhängig als Client und Server. Informationen werden zwischen den anderen Geräten im Botnet auf koordinierte Weise aktualisiert und geteilt.

Funktionsweise von Botnets

Im Folgenden wird die Bildung eines Botnets vereinfacht erläutert:

  • Am Anfang infiziert ein Hacker Geräte mit Malware, um diese in Zombie-Geräte umzuwandeln. Dabei kommen Techniken wie Web-Downloads, Exploit-Kits, Popup-Werbung und E-Mail-Anhänge zum Einsatz.
  • Bei einem zentralisierten Botnet werden die infizierten Geräte auf einen C&C-Server gelenkt. Bei einem P2P-Botnet beginnt die Verbreitung unter den Peers und die Zombie-Geräte versuchen, sich mit anderen infizierten Geräten zu verbinden.
  • Der Zombie-Rechner lädt dann das neueste Update vom C&C-Kanal und empfängt damit seine Befehle.
  • Anschließend führt der Bot die Befehle aus und beginnt seine schädlichen Aktivitäten.

So können Sie Ihre Geräte davor schützen, Teil eines Botnets zu werden

Damit Ihre IoT-Geräte nicht zu einem Zombie werden, sollten Sie folgende Empfehlungen beachten:

  • Führen Sie regelmäßige Cybersicherheitsschulungen durch, die Benutzer bzw. Mitarbeiter für schädliche Links sensibilisieren.
  • Verwenden Sie ein robustes Patch-Programm, das vor neuen Schwachstellen schützt.
  • Verwenden Sie eine erstklassige Virenschutzlösung, die fortlaufend aktualisiert wird und das Netzwerk regelmäßig scannt.
  • Implementieren Sie ein System zur Erkennung von Eindringungsversuchen (Intrusion Detection System, IDS), das Ihr gesamtes Netzwerk abdeckt.
  • Implementieren Sie eine Endgeräteschutz-Lösung, die über eine Rootkit-Erkennungsfunktion verfügt und schädlichen Netzwerkdatenverkehr erkennen sowie blockieren kann.