Adacor - IT Security

Botnetze nehmen dramatisch zu

20. Februar 2018 von Valentin Rothenberg

Die Initiative botfrei.de des Verbandes der Internetwirtschaft ECO  stellte bei einer Stichprobe fest: Von etwa 175.000 untersuchten Rechnern in Deutschland waren 66.500 (38 Prozent) mit Bots infiziert. Zusammengenommen ergeben diese Computer riesige Netzwerke, die von Internetkriminellen für ihre Verbrechen genutzt werden. Überwiegend bemerken die Nutzer nicht, dass ihr Rechner Teil eines Bot-Netzes geworden ist und sie selbst zu Mittätern geworden sind, die im schlimmsten Fall strafrechtlich verfolgt werden.

v<or Computer-Kraken schützen

Schutz vor der Computer-Krake

Ein Botnet oder Bot-Netz ist ein Zusammenschluss von Schadprogrammen (Bots, von englisch robot, Roboter), die automatisiert auf infizierten Rechner ausgeführt werden und über diese miteinander kommunizieren. Der Netzbetreiber verfolgt das Ziel, weltweit so viele Knoten wie möglich miteinander zu verbinden und das Netzwerk für verschiedene Einsatzzwecke zu nutzen. Die Ressourcen des Botnets werden anschließend vermietet und ermöglichen anderen Kriminellen, zum Beispiel Spam- oder Pishing-Mails zu versenden beziehungsweise DDoS-Angriffe zu starten.

Neue Impulse gefällig?

Nix verpassen: Abonniere den Adcaor Newsletter!

Nein, Danke.

Die Einsatzzwecke von Botnets

  • Der Spam-Versand inklusive Phishing-Mails in großen Mengen
  • Das Skimming (das illegale Ausspähen elektronischer Daten von Zahlungskarten
  • Das Ausführen von DDoS- und DRDoS-Attacken
  • Botnetz-interne Angriffe mit Sniffern und Password-Grabbern, um auf lokal gespeicherte Daten zuzugreifen
  • Die Installation von Ransomware (Erpressungssoftware)
  • Die Nutzung der Festplatte als Speichermedium, um illegale Inhalte zu verbreiten

Die meisten Bots werden von einem Operator oder Master überwacht. Sie können über einen Command and Control Server (Server, der Befehle an die einzelnen Teile – also an die infizierten Rechner des Bot-Netzes – senden kann) ferngesteuert werden. Die Bots arbeiten in der Regel unbemerkt im Hintergrund und sind nur aktiv, wenn der Rechner hochgefahren und mit dem Internet verbunden ist.

Beispiel für aktive Botnetze und ihre Auswirkungen

Sality

Als eines der ältesten noch aktiven Botnets infiziert das Schadprogramm Dateien in Microsoft-Windows-Systemen. Sality wurde 2003 erstmalig von Russland aus gestartet. Die Malware zielt darauf ab, den Spam-Versand, das Abfischen sensibler Daten (Passwörter) oder das Kompromittieren von Webservern zu initiieren.

Sality nutzt für die Kommunikation im Botnet keinen Commander Control Server, sondern die infizierten Rechner tauschen die Daten direkt untereinander aus (Peer-to-peer-Netzwerk). Dieses Vorgehen macht es schwierig, das Netzwerk zu bekämpfen, da man nicht einfach den Commander Control Server eliminieren und damit die Befehlskette unterbrechen kann. Was Sality aktuell so treibt, lässt sich über den Live-Tracker Lookingglass beobachten: map.lookingglasscyber.com

Mirai

Die Linux-Schadsoftware baut Bot-Netze auf, die häufig für DDos-Attacken zum Einsatz kommen. Auf einem Mirai-Botnet basierte beispielsweise im März 2017 ein Angriff auf eine US-amerikanische Universität.

Mirai nutzt für die Verbreitung IoT-Geräte wie Router, Überwachungskameras oder Fernseher. Die Software scannt das Netz nach Sicherheitslücken in der Betriebssoftware solcher Geräte und versucht den Schadcode auf diese aufzuspielen. Mirai umfasste 2016 weltweit über 400.000 kompromittierte IoT-Devices  und war für den bisher größten Angriff in der Geschichte des Internets mit 1,2 Tbps verantwortlich.

Necurs

Das Botnet ist 2012 gestartet und umfasste während seiner Hochzeit ein Netzwerk mit bis zu sechs Millionen Knotenpunkten. Necurs arbeitet multifunktional und verbreitete bisher einige der ärgsten Banken-Trojaner und gefährlichsten Ransomware.
War es seit Mitte 2016 ruhig um das Botnet geworden, ist es seit August 2017 wieder aktiver: So hat Malwarebytes eine neue Spam-Welle entdeckt, die sich über das Necurs-Netzwerk verbreitet und bösartige Ransomware verteilt.

Wie verbreiten sich die Bots?

Bot-Netze werden erweitert, indem Bots auf weiteren – bisher noch nicht infizierten – Rechnern installiert werden. Das ist ein laufender Vorgang: Um das Botnet groß zu halten, muss ein neuer Rechner hinzukommen, wenn auf der anderen Seite ein Computer ausscheidet, bei dem der Bot entdeckt und entfernt wurde.

Aufbau eines Botnetzes

Aufbau eines Botnetzes

Die Verbreitung erfolgt überwiegend über fünf Wege

  1. Die Schadsoftware wird per E-Mail an unzählige Adressen geschickt. Der Empfänger wird dazu aufgefordert, das Programm auf seinem Computer auszuführen. Mitunter wird auch ein Link auf eine infizierte Webseite versandt oder der Virus versteckt sich als Makro in Microsoft-Office-Dokumenten.
  2. Der Bot wird im Rahmen eines Software-Downloads als Trojaner verschickt und beim Ausführen der Anwendung aktiviert.
  3. Die Bot-Installation erfolgt über das Ausnutzen einer Sicherheitslücke (Exploit) im Betriebssystem, im Browser oder in einer Anwendung auf dem Rechner.
  4. Der Computer (häufig: Server) wird gehackt und der Bot manuell auf diesem installiert.
  5. Per Drive-by-Download lädt sich der Nutzer unbewusst die Schadsoftware herunter. Das kann allein durch das Anschauen einer dafür präparierten Website passieren.

Managed Kubernetes Hosting von Adacor

Wir unterstützen Sie ganz nach Ihren Bedürfnissen

  • Kubernetes Cluster individuell bereitgestellt
  • CI/CD Pipeline maßgeschneidert aufgebaut
  • Übernahme des Cluster- & Container-Managements

Jetzt mehr erfahren!

Warum sind Bot-Netze so verbreitet?

Eigentlich sollte man meinen, dass die Zahl der Nutzer steigt, die über die Gefahren von Internet und Co. aufgeklärt sind. Tatsächlich ist es aber so, dass immer noch viel zu viele User sich nicht der Bedrohungen und Risiken von Bot-Netzen bewusst sind.

Aus diesem Grund gibt es vielfältige Einfallsvektoren für die Bots. Zu den häufigsten Ursachen für eine Infektion zählen veraltete Betriebssysteme (besonders gefährdet sind diejenigen, für die der offizielle Support eingestellt wurde wie Microsoft Windows XP) und nicht-aktualisierte Browser samt deren Plug-Ins. Noch wesentlicher häufiger gelangt die Schadsoftware jedoch via harmlos erscheinender E-Mails auf den Computer. Insbesondere angehängte Microsoft-Office-Dokumente stellen aktuell ein Problem dar, da Office sowohl auf Windows- also auch auf Mac-Rechner durch die Möglichkeit der Einbettung sogenannter Makros viele Risiken der schadhaften Ausnutzung birgt. In der Folge haben die Cyberkriminellen leichtes Spiel und können sich aufgrund der gefundenen Sicherheitslücke leicht in die ungeschützten Systeme einhacken.

Ob lokaler Rechner, Server oder ganzes System – jede IT-Infrastruktur kann betroffen sein. Immer häufiger werden auch Internet-of-Things-Geräte (IoT-Geräte) infiziert. Das unheimliche Szenario, das man aus Science-Fiction-Büchern kennt, dass sich die Technik gegen den Menschen wendet, rückt so zum Greifen nah. Zum Beispiel nutzt ein großes Botnet ironischerweise Überwachungskameras für den massenweisen Versand von E-Mails. Einen spannenden Bericht, wie schnell eine IP-Sicherheitskamera Teil eines Bot-Netzes werden kann, veröffentlichte die Redaktion des IT-Magazins Heise.

Weitere Einfallstore sind etwa Systeme, die noch Standardpasswörter verwenden oder die es erlauben, dass man sehr viele Passwortvarianten ausprobieren kann. Ist diese Option nicht limitiert, lassen sich mithilfe eines Bot-Netzes oder einzelner Rechner automatisch Milliarden potenzieller Passwörter ausprobieren – und irgendwann ist wahrscheinlich das Richtige dabei.

Es hilft nur „Augen auf“

Die Verbreitung von Bot-Netzen wird in Zukunft weiter zunehmen. Zu lukrativ sind die Möglichkeiten, die solch eine Infrastruktur den Cyberkriminellen bietet. Darüber hinaus lässt sich heutzutage schon mit wenigen Bot Nodes ein großer Schaden anrichten, da selbst in einem Privathaushalt jeder Computer und jede Internetverbindung extrem leistungsstark ist.

Mit wenigen Maßnahmen lässt sich das Risiko einer Infektion minimieren

  1. Virenschutz installieren und regelmäßig aktualisieren.
  2. Betriebssystems und Software regelmäßig patchen.
  3. Firewall aktivieren beziehungsweise installieren und insbesondere ausgehende Verbindungen überwachen lassen.
  4. Keine E-Mails von unbekannten Quellen öffnen, keine darin enthaltenen Anhänge öffnen oder herunterladen. Nur auf einen Anhang klicken, wenn der Absender bekannt ist. Keine Links in E-Mails anklicken, die von angeblich offiziellen Stellen, bekannten Kreditinstituten oder Online-Shops stammen.
  5. Bei Dateianhängen in Mails aus der Office-Familie Vorsicht walten lassen, denn es könnten Makroviren im Anhang sein; lieber auf ein PDF bestehen.
  6. Sichere Passwörter für Router, Netzwerke und IOT-Geräte wählen und diese regelmäßig aktualisieren. Eine Checkliste für sichere Passwörter haben wir zusammengestellt.
  7. UPnP-Funktion bei Routern deaktivieren. Das empfiehlt das Bundesamt für Sicherheit in der Informationstechnik BSI.
  8. Regelmäßige Backups erstellen, indem wichtige Daten auf ein externes Medium gespeichert werden.
  9. Beim Einsatz von WLAN oder VoIP die Datenübertragung verschlüsseln.
  10. Keine (oftmals kostenlose) Software von unbekannten, fragwürdigen Quellen installieren.
  11. Grundsätzlich gegenüber Gratis-Angeboten misstrauisch sein (schnelles Geld, Produkte gratis erhalten).

Was tun mit einem infizierten Rechner?

Als Nutzer muss man also selbst aufpassen, dass man sich keine Bots einfängt. Passiert es trotzdem, ist es schwierig, herauszufinden, ob der Rechner tatsächlich kompromittiert wurde.

Anhaltspunkte dass ein Rechner infiziert sein könnte

  1. Der Virenscanner schlägt an, weil er durch ein Update neue Informationen bekommt, die es erlauben, entsprechende Schadsoftware zu entdecken.
  2. Der Rechner wird langsamer. Zeigen zusätzlich die Statistiken des Routers, dass der Rechner ungewöhnlich hohe Datenmengen versendet, ist höchste Alarmstufe geboten.
  3. Die Behörden heben ein Botnet aus und übernehmen den Commander Control Server. Dann erhalten die betroffenen Nutzer anschließend eine Nachricht zu ihrer misslichen Lage – inklusive Lösungsmöglichkeiten.

Infizierte Rechner können, müssen aber nicht zwangsläufig diese Symptome zeigen. Das macht den Kampf gegen Bots so schwierig. Oft merken die User überhaupt nicht oder erst sehr spät, dass ihr Computer Teil eines Bot-Netzes geworden ist.

Bei einem Verdacht helfen Programme, die konkret danach suchen, ob ein bestimmtes Bot-Netz einen Trojaner oder Schadsoftware auf einem Rechner installiert hat. Zum Beispiel reinigen die kostenlosen EU-Cleaner von Avira oder SurfRight Rechner von Schadprogrammen. Mehr Informationen zu den EU Cleanern erhalten Sie auf den Seiten von botfrei.

Ist man erst einmal Teil eines Bot-Netzes geworden, ist es generell schwierig aus der Falle wieder herauszukommen. Häufig hilft dann nur die vollständige Neuinstallation des Rechners.

Erfolgreich in der Cloud

Nutzen Sie vorhandene Ressourcen jetzt effektiver!

Informieren Sie sich über unsere Cloud Infrastruktur made in Frankfurt.

Fazit: Frühzeitig Schützen

Bot-Netzwerke, die von Internetkriminellen für ihre Verbrechen genutzt werden, sind gefährlich. Zusätzliche Brisanz kommt ins Spiel, wenn der Nutzer nicht merkt, dass sein Rechner Teil eines Bot-Netzes geworden ist. Dann kann er im schlimmsten Fall für den Schaden, den sein Rechner angerichtet hat, haftbar gemacht werden.

Man kann davon ausgehen, dass die Verbreitung von Bot-Netzen zunehmen wird. Für Hacker ist es leicht, neue Netzwerke zu bilden oder bestehende zu erweitern. Mittlerweile sind auch IoT-Geräte wie Kühlschränke, Toaster oder Fernseher in den Fokus der Kriminellen gerückt, weil sie das Thema Sicherheit völlig außer Acht lassen. So interessiert den Käufer eines Kühlschranks in erster Linie die Funktion: Das Gerät muss kühlen und wenn es noch die Entwicklung der Kühltemperatur und des Stromverbrauchs auswertet oder eine Einkaufsliste erstellt, dann ist das toll. Die IT-Sicherheit des Kühlschranks hat aktuell für nahezu keinen Kunden einen Einfluss auf die Kaufentscheidung.

Gerade deshalb ist zu wünschen, dass sich gleichermaßen Unternehmen und private Personen der Gefahren bewusst werden, die von Bot-Netzwerken ausgehen und noch stärker als bisher darauf achten, dass ihre Systeme geschützt sind und sich keine Schadsoftware einnistet. Unternehmen sollten zudem ihre Website und sonstige Infrastruktur durch vorgeschaltete Filter-Cluster vor DDoS-Angriffen schützen, wenn diese für Angriffe besonders gefährdet sind. Insbesondere Onlineshops sehen sich immer häufiger Angriffen und damit einhergehenden Erpressungen ausgesetzt.

Im Januar 2018 ist dieser Beitrag vorab bei Datensicherheit.de erschienen.

Verwandte Artikel