Schema Botnetz

Was sind Bots ?

Botnetze

Man versteht unter einem Bot ein Programm, das selbstständig ohne Benutzerinteraktion arbeitet und ferngesteuert sich wiederholende Aufgaben durchführt. Kriminelle im Internet setzen sie dazu ein, illegale Aktionen durchzuführen. Dazu werden zigtausende bis zu mehreren Millionen mit Bots infizierten PCs zu sogenannten Botnetzen zusammengeschlossen. Erst Anfang 2015 wurde das seit 2010 aktive Botnetz Ramnit aufgelöst, das Schätzungen zufolge sich aus bis zu 3 Millionen Bots zusammengesetzt hat. Das unter dem Namen Bredolab bekannte Botnetz bestand aus bis zu 30 Millionen infizierten PCs und wurde Ende 2010 abgeschaltet. Dieses Netzwerk konnte bis zu 3,6 Milliarden Spammails pro Tag versenden.

Täglich werden tausende Botnetze gezählt. Über die Botnetz-Übersichtskarte des IT-Sicherheitsunternehmens Trend Micro kann man sich informieren, wo auf der Welt und wie viele bösartige Netzwerkaktivitäten die letzten Tage stattgefunden haben. Laut einer Studie von Trend Micro ist Deutschland im Ländervergleich auf Platz 3 mit den meisten mit Bots infizierten Computern.

Wie geschieht die Infektion mit einem Bot ?

Die Schadsoftware kann über vielfältige Wege auf ein System gelangen. Beispielsweise klickt der Benutzer einen Link in einer E-Mail, einem Blog oder einer Facebook-Nachricht an oder öffnet einen E-Mail-Anhang. Der Link führt auf eine Webseite, über die der Schadcode geladen wird. Durch Ausnutzung von Sicherheitslücken erfolgt die Installation des Bots automatisch (Drive-by-Download) auf dem Computer, wovon der Benutzer üblicherweise nichts merkt. Schadsoftware kann sich auch in Werbebannern (Malvertising) befinden. Systeme, die mit Bots infiziert sind, bezeichnet man als Zombies oder Drohnen.

Aufbau des Botnetzes

Schema Aufbau eines BotnetzesEin Botnetz wird in der Regel von einem Master-Server (Command&Control-Server) gesteuert. Dieser versorgt die Zombies zeitgleich mit „Aufgaben“ oder auch Updates. Da ein Botnetz durch Abschalten des Master-Servers stillgelegt werden kann, sind diese in der Regel redundant über verschiedene Länder mit unterschiedlichen Rechtssystemen verteilt. Zum Schutz der Command&Control-Server werden inzwischen ausgefeilte Techniken angewendet (z.B. Fast Flux).

Ein im Oktober 2016 durchgeführter DDoS-Angriff zeigt das mögliche Ausmaß eines Botnetzes. Der Angriff zielte auf den Netzwerkdienstleister Dyn ab, dessen Kunden zahlreiche populäre Internetdienste wie Twitter, Spotify oder eBay sind, was zur Folge hatte, dass die Seiten für einige Stunden nur eingeschränkt oder gar nicht erreichbar waren. Der durch das Botnetz verursachte Traffic erreichte eine Datenrate von rund einem Terabit pro Sekunde und wird dem Mirai-Botnetz zugeschrieben. Es handelt sich um ein Netzwerk, das sich größtenteils aus infiltrierten Heimgeräten mit Webzugriff wie Webcams, Babyfonen und Routern zusammensetzt.

Botnetze als Geschäftsidee

Der Betrieb von Botnetzen lohnt sich für Kriminelle. Sie sammeln darüber persönliche Daten wie Konto- oder Zugangsinformationen zu Internetshops oder Banken. Diese werden entweder an Interessierte weiterverkauft oder auch direkt zu betrügerischen Transfers genutzt. Das Einsammeln persönlicher Informationen geschieht entweder direkt am infizierten System oder durch massenhafte Versendung von Phishing-E-Mails über das Botnetzwerk.

Eine weitere Nutzungsvariante sind DDoS (Distributed Denial of Service) Angriffe. Dabei erhalten alle Zombies eines Netzes den Befehl, wiederholt auf einen bestimmten Server zuzugreifen. Da dies quasi zeitgleich geschieht, kann der Server die Flut von Anfragen nicht mehr bewältigen und bricht unter der Last zusammen. Auf diese Weise können Wettbewerber ausgeschaltet werden. Bereits die Androhung eines DDos-Angriffs auf z.B. Online-Wettseiten ist beliebt, um Schutzgelder zu erpressen.
Zombies innerhalb eines Botnetzes können auch als Speichermedium für rechtswidrige Materialien verwendet werden, deren Besitz unter Umständen bereits strafbar ist. Die Zombies werden damit ungewollt zu Verteilern dieser Informationen, ohne dass der Benutzer etwas davon bemerkt.

Eine weitere Einnahmequelle der Kriminellen ist zum Beispiel die zeitweise Vermietung des Botnetzes an Interessierte.

Es verwundert nicht, dass auch im Netzwerk der RUB täglich als Zombies missbrauchte Systeme auffällig werden. Zur Prävention sollten unbedingt die Hinweise zur Grundsicherung von Systemen beachtet werden. Falls Ihr System schon von einem Bot befallen ist, gibt es verschiedene Programme, die Bots identifizieren und entfernen können. Siehe: https://www.botfrei.de/

zur Startseite

Bildquellen: istockphoto.com