🌟 A gentle invitation: Explore transformation through the Dance Entropy celebration. Watch the lyric video here or visit 🩉Ωwlchemy🐩‍⬛ to learn more.
Thank you for your understanding and support.

    Dust Particle

    Was ist ein Botnet?

    0
    By on Cybersecurity


    Ein Botnetz besteht aus vielen “Zombie”-Rechnern und lĂ€sst sich beispielsweise einsetzen, um DDoS-Attacken zu fahren. Das sollten Sie zum Thema wissen. 

    FOTOKINA | shutterstock.com

    Kriminelle Hacker suchen stets nach Möglichkeiten, Malware in großem Umfang zu verbreiten oder Distributed-Denial-of-Service (DDoS)-Angriffe zu fahren. Ein Botnet eignet sich dazu besonders gut.

    Botnet – Definition

    Ein Botnet ist eine Sammlung von mit dem Internet verbundenen GerĂ€ten, die von einem Angreifer kompromittiert wurden, um DDoS-Angriffe und andere “Tasks” im “Schwarm” auszufĂŒhren. Die Idee dahinter: Jeder Rechner, der Teil des Botnetzes wird, wird zu einem “Zombie”-Rechner – ein hirnloser Bestandteil eines großen Netzwerks identischer Bots.

    “Malware infiziert einen Computer, der dem Botnet-Betreiber zurĂŒckmeldet, dass der Rechner nun bereit ist, blindlings Befehle zu befolgen”, erklĂ€rt Nasser Fattah, North America Steering Committee Chair bei Shared Assessments. “Das geschieht ohne das Wissen des Benutzers. Das Ziel besteht darin, das Botnetz weiter auszubauen, um großangelegte Angriffe zu automatisieren und zu beschleunigen.”

    Botnets – Architektur

    Botnetze sind ein Beispiel fĂŒr verteilte Computersysteme, die ĂŒber das Internet betrieben werden. Die Personen oder Teams, die ein Botnet betreiben, sogenannte “Controller” oder “Herders”, mĂŒssen möglichst viele “Zombies” fĂŒr ihre Armee rekrutieren – und dann deren AktivitĂ€ten koordinieren, um Profit zu machen. Die Architektur, die zur Bildung und Aufrechterhaltung von Botnets beitrĂ€gt, besteht aus mehreren Komponenten:

    Botnet-Malware: Cyberkriminelle ĂŒbernehmen die Kontrolle ĂŒber die Zielcomputer mithilfe von Malware. Es gibt eine Vielzahl von Vektoren, ĂŒber die Malware auf einen Computer gelangen kann – von Phishing- und Watering-Hole-Angriffen bis hin zur Ausnutzung ungepatchter SicherheitslĂŒcken. Der bösartige Code ermöglicht es Angreifern, kompromittierte Rechner zu Aktionen zu zwingen, ohne dass der Besitzer davon etwas bemerkt. “Die Malware selbst versucht oft nicht, etwas zu stehlen oder Schaden anzurichten”, erklĂ€rt Jim Fulton, Vice President beim Sicherheitsanbieter Forcepoint. “Stattdessen versucht sie, im Verborgenen zu bleiben, damit die Botnet-Software unbemerkt weiterarbeiten kann.”

    Botnet-Drones: Sobald ein GerĂ€t vom Angreifer ĂŒbernommen wurde, wird es zur “Drone” – quasi einem “Fußsoldat” oder “Zombie” innerhalb der Botnetz-Armee -, der allerdings ĂŒber ein gewisses Maß an Autonomie und in einigen FĂ€llen auch ĂŒber kĂŒnstliche Intelligenz verfĂŒgt. “Eine Botnet-Drone kann andere Computer und GerĂ€te mit einer gewissen Intelligenz rekrutieren, wodurch es schwieriger wird, sie zu finden und zu stoppen”, weiß Andy Rogers, Senior Assessor bei Schellman. “Sie findet anfĂ€llige Hosts und lĂ€dt sie ohne Wissen des Benutzers in das Botnetz ein.”

    In Botnet Drones lassen sich alle Arten von GerĂ€ten verwandeln, die mit dem Internet verbunden sind, von PCs ĂŒber Smartphones bis hin zu IoT-Devices. Letztere, etwa internetfĂ€hige Sicherheitskameras oder Kabelmodems, könnten fĂŒr Angreifer sogar besonders interessant sein, wie Dave Marcus, Senior Director of Threat Intelligence bei LookingGlass Cyber, erklĂ€rt: “Bei solchen Devices neigen die Leute dazu, zu vergessen, dass sie da sind, weil man sie einmal einschaltet, und dann nicht mehr beachtet. Dazu kommt, dass viele Leute bei Routern und Switches keine Updates durchfĂŒhren wollen, aus Angst, dabei etwas falsch zu machen. In beiden FĂ€llen kann das dazu fĂŒhren, dass die GerĂ€te ungepatcht und damit angreifbar bleiben.”

    Ganz wesentlich ist jedoch, dass es viele dieser Botnet Drones gibt und diese legitim wirken, wie Ido Safruti, MitbegrĂŒnder und CTO von PerimeterX zu bedenken gibt: “Indem legitime GerĂ€te mit Malware infiziert werden, gewinnen Botnetz-Betreiber Ressourcen, die private IP-Adressen nutzen und wie legitime Nutzer aussehen sowie darĂŒber hinaus auch kostenlose Rechenressourcen, um Aufgaben auszufĂŒhren.”

    Botnet Command & Control: Das letzte Teil des Puzzles ist der Mechanismus, mit dem die Botnetze gesteuert werden. FrĂŒhe Botnets wurden in der Regel von einem zentralen Server aus gesteuert. Das machte es jedoch relativ leicht, das gesamte Netzwerk auszuschalten, indem dieser zentrale Knotenpunkt abgeschaltet wird. Moderne Botnetze operieren mit einem Peer-to-Peer-Modell, bei dem Befehle von Drone zu Drone weitergegeben werden, sobald diese ihre individuellen Malware-Signaturen ĂŒber das Internet erkennen. Die Kommunikation der Bot-Herder und zwischen den Bots kann ĂŒber verschiedene Protokolle erfolgen. Dabei kommt immer noch hĂ€ufig das Oldschool-Chatprotokoll Internet-Relay-Chat (IRC) zum Einsatz, da es relativ leichtgewichtig ist und leicht auf Bots installiert werden kann, ohne viele Ressourcen zu beanspruchen. Es kommen aber auch eine Reihe anderer Protokolle zur Anwendung, darunter Telnet und normales HTTP, was die Erkennung des Datenverkehrs erschwert. Einige Botnets nutzen besonders kreative Mittel zur Koordination, und veröffentlichen Befehle auf öffentlichen Websites wie Twitter oder GitHub.

    So wie die Botnetze selbst sind auch die verschiedenen Komponenten ihrer Architektur verteilt. “Kriminelle Hacker sind Spezialisten und die meisten Gruppen arbeiten in einem losen Verbund mit anderen Gruppen zusammen”, meint Garret Grajek, CEO von YouAttest. “In der Cybercrime-Welt kann es eine Gruppe geben, die eine neue, unveröffentlichte Schwachstelle ausnutzt, eine andere, die dann die Nutzlast des Botnetzes erstellt und eine weitere, die das Command & Control Center kontrolliert.”

    Botnetze – Angriffsarten & Beispiele

    Distributed Denial of Service (DDoS)-Angriffe sind wahrscheinlich die bekannteste und beliebteste Art von Angriffen, die ĂŒber Botnetze initiiert werden. Im Rahmen dieser Angriffe versuchen Hunderte oder Tausende von kompromittierten Computern, einen Server oder eine andere Online-Ressource mit Anfragen zu ĂŒberlasten und diese so außer Betrieb zu setzen. Das ist ohne Einsatz eines Botnet nicht möglich. Zudem sind DDoS-Attacken einfach zu initiieren, da fast jedes kompromittierbare Device ĂŒber InternetkonnektivitĂ€t und einen zumindest rudimentĂ€ren Webbrowser verfĂŒgt.

    Doch es gibt noch viele weitere Möglichkeiten fĂŒr Angreifer, ein Botnetz zu nutzen. Die Zielsetzung der Angreifer kann dabei ĂŒber die Art der GerĂ€te bestimmen, die infiziert werden sollen, wie Marcus erklĂ€rt: “Wenn ich mein Botnet fĂŒr Bitcoin-Mining nutzen möchte, habe ich es vielleicht auf IP-Adressen in einem bestimmten Teil der Welt abgesehen, weil diese Maschinen generell leistungsfĂ€higer sind – sie haben einen Grafikprozessor und eine CPU und die Benutzer werden nicht unbedingt bemerken, dass im Hintergrund geschĂŒrft wird.”

    Die Opfer der Angriffe bekommen zwar die kriminelle Energie derjenigen zu spĂŒren, die das Botnet kontrollieren – die Besitzer der Bots selbst sollen jedoch, wenn es nach den Angreifern geht, nichts davon bemerken, was ihre Rechner anrichten. “Was passiert, hĂ€ngt einfach davon ab, wie viel sich der Betreiber herauszunehmen bereit ist. Der Einsatz einer hochfunktionalen Malware, die viele verschiedene Dinge tut, erhöht die Wahrscheinlichkeit, entdeckt zu werden, weil der Besitzer Performance-Probleme seines Rechners auffallen könnten.”

    Heutzutage sorgen zwar vor allem DDoS-Angriffe im Zusammenhang mit Botnetzen fĂŒr Aufmerksamkeit – das allererste Botnet wurde allerdings kreiert, um Spam zu verbreiten. Khan C. Smith baute 2001 eine Bot-Armee auf, um sein Spam-Imperium auszubauen und verdiente damit Millionen von Dollar. Bis er schließlich vom Internetdienstleister EarthLink (erfolgreich) auf Schadensersatz in Höhe von 25 Millionen Dollar verklagt wurde.

    Eines der wichtigsten Botnetze der letzten Jahre basierte auf der Schadsoftware Mirai und legte 2016 kurzzeitig einen großen Teil des Internets lahm. Mirai wurde von einem College-Studenten aus New Jersey geschrieben und entstand aus einer Auseinandersetzung zwischen Server-Hosts des populĂ€ren Videospiels Minecraft. Das Botnet zielte speziell auf TV-Kameras mit Internetverbindung ab – ein Beleg dafĂŒr, wie bedeutend IoT-GerĂ€tschaften in diesem Zusammenhang sind.

    Es gibt jedoch noch zahlreiche andere Beispiele fĂŒr Botnetze, weiß Kevin Breen, Director of Cyber Threat Research bei Immersive Labs: “GrĂ¶ĂŸere Botnets wie TrickBot nutzen Malware wie Emotet, die sich bei der Installation eher auf Social Engineering stĂŒtzt. Diese Botnetze sind in der Regel widerstandsfĂ€higer und werden fĂŒr die Installation zusĂ€tzlicher, bösartiger Software wie Banking-Trojaner und Ransomware verwendet. In den letzten Jahren haben die Strafverfolgungsbehörden mehrfach – mit vereinzelten Erfolgen – versucht, die großen, kriminellen Botnetze zu zerstören. Diese scheinen sich im Laufe der Zeit jedoch immer wieder zu erholen.”

    Botnet kaufen – so geht’s

    Viele Cyberkriminelle bauen ihre Botnets nicht fĂŒr den persönlichen Gebrauch auf, sondern um sie zu verkaufen. Diese GeschĂ€fte laufen mehr oder weniger klandestin ab. Allerdings lassen sich mit einer einfachen Google-Suche schon relativ leicht Services finden, die euphemistisch als “Stresser” oder “Booter” bezeichnet werden: “Diese SaaS-Lösungen können ganz einfach – zum Beispiel ĂŒber Paypal – gebucht werden – eigentlich, um die Belastbarkeit des eigenen Netzwerks zu testen. Einige dieser Serviceanbieter verkaufen ihre Dienste allerdings an jeden – ohne Auftraggeber oder Ziel zu ĂŒberprĂŒfen”, weiß Fattah.

    Auch Security-Spezialist Breen ist der Meinung, dass jeder, der Botnet-Software herunterladen möchten, diese auch finden wird: “Wer nach den richtigen Begriffen sucht, landet schnell in einschlĂ€gigen Foren, wo neben entsprechenden Services oft auch Quellcode und geleakte Botnetze angeboten werden. Solche Angebote werden wird typischerweise von den berĂŒhmten ‘Skript-Kiddies’ genutzt, die damit zum Beispiel die Verbreitung von Krypto-Minern vorantreiben wollen.” Die echten Profis operieren hingegen im Darknet und können schwieriger zu finden sein: “Spezialisierte Darknet-MarktplĂ€tze werden in der Regel moderiert und sind nur auf Einladung zugĂ€nglich”, weiß Josh Smith, Analyst fĂŒr Cyberbedrohungen bei Nuspire. “Hat man jedoch einmal Zugang erlangt, ist der weitere Prozess bemerkenswert kundenfreundlich ausgestaltet – inklusive Reputationssystem fĂŒr VerkĂ€ufer.”

    “Viele dieser Services bieten ein simples Interface, mit dem ein Botnet auf eine IP oder URL ausgerichtet und der Angriff dann mit einem Knopfdruck gestartet wird. Die Benutzer können Websites und Server direkt von Ihrem Browser aus lahmlegen und bleiben durch die Bezahlung mit KryptowĂ€hrungen weitgehend anonym“, erklĂ€rt Rogers. “Anspruchsvollere Bedrohungsakteure wie Ransomware-Banden arbeiten möglicherweise direkt mit den Betreibern großer Botnetze wie TrickBot zusammen, um großangelegte Spear-Phishing-Kampagnen anzustoßen”, meint Laurie Iacono, Associate Managing Director of Cyber Risk bei Kroll. “Sobald die Rechner infiziert sind, sammelt Malware Informationen, die Ransomware dabei hilft, das Netzwerk zu infiltrieren.”

    Die Kosten fĂŒr einen solchen Botnet-Service sind dabei relativ ĂŒberschaubar, wie Anurag Gurtu, CPO von StrikeReady, preisgibt: “Der Zugang zu einem Botnet kann bis zu zehn Dollar pro Stunde kosten.” Dabei bekommen die Nutzer das, wofĂŒr sie bezahlen: “Wenn man einen ganz bestimmten Bot in einem spezifischen Teil der Welt haben möchte, steigen die Preise”, meint Marcus. “In bestimmten Teilen der Welt gibt es qualitativ bessere Rechner. Ein Botnetz, das auf Maschinen und IP-Adressen in den USA basiert, ist beispielsweise erheblich teurer als eines innerhalb der EU, weil die Rechner in den Staaten leistungsfĂ€higer sind.”

    Botnetz-Angriffe verhindern

    Die Absicherung gegen Botnets kann zwei verschiedene Formen annehmen:

    • Entweder Sie verhindern, dass Ihre eigenen GerĂ€te zu Bots werden oder

    • Sie wehren Angriffe ab, die ĂŒber Botnetze gestartet werden.

    In beiden FÀllen gibt es wenige Verteidigungsmöglichkeiten, die nicht bereits Bestandteil einer ordentlichen Sicherheitsstrategie sind:

    • Hacker verwandeln GerĂ€te hĂ€ufig mit Malware in Zombie-Rechner, die ĂŒber Phishing-E-Mails verbreitet wird. Sie tun also gut daran, Ihre Mitarbeiter in Sachen Phishing umfassend aufzuklĂ€ren.

    • Auch unzureichend abgesicherte IoT-GerĂ€te werden oft in Botnetze integriert. Stellen Sie also sicher, dass solche Devices nicht das herstellerseitig gesetzte Standardpasswort nutzen.

    • Gelingt es Cyberkriminellen, Malware auf Ihren Computern einzuschleusen, benötigen Sie eine aktuelle Antivirus-Lösung, um sie zu erkennen.

    • Wenn Sie Opfer eines DDoS-Angriffs werden, können Sie den bösartigen Traffic herausfiltern oder Ihre KapazitĂ€ten mit Hilfe eines Content Delivery Network aufstocken.

    DarĂŒber hinaus gibt es auch einige Botnet-spezifische Techniken, die Sie einsetzen können, um sich zu schĂŒtzen. Breen schlĂ€gt beispielsweise vor, auf verdĂ€chtigen Datenverkehr achten: “Eine Datenflussanalyse klingt kompliziert, kann aber Botnet-Command-and-Control-Traffic zu Tage fördern.”

    “Wir verwenden mehrere Tools, um Botnetze zu stoppen”, erlĂ€utert Mark Dehus, Director of Threat Intelligence bei Lumen Black Lotus Labs. “Sobald ein neues Malware-Sample entdeckt wird, können wir beispielsweise die Methoden, mit denen es sich an einen Command & Control-Server meldet, mit Reverse Engineering nachvollziehen. So können wir einen Bot emulieren, der sich mit verdĂ€chtigen Servern verbinden, sie validieren und die Befehle ĂŒberwachen kann, die sie an die Bots ĂŒbermitteln. Der Kampf gegen Botnetze und ihre Betreiber ist langwierig, aber wir hoffen, das Blatt wenden zu können.” (fm)

    Share.

    Related Posts

    Add A Comment

    Leave A Reply

    Disclaimer: This website, PromptLocl, uses AI to generate content based on regenerated RSS feeds for informational and traffic purposes. This humble experiment supports 🩉Ωwlchemy🐩‍⬛ . Please verify all content independently for accuracy.
    Thank you for your understanding and support.

    Click to listen highlighted text!