Die Kontrolle über Tausende oder sogar Millionen von Geräten verschafft Cyber-Angreifern die Möglichkeit, Malware zu verbreiten oder einen DDoS-Angriff durchzuführen. [...]
Botnet-Definition
Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Geräten, die ein Angreifer kompromittiert hat, um DDoS-Angriffe und andere Aufgaben als Schwarm auszuführen. Die Idee ist, dass jeder Computer zu einem hirnlosen Roboter in einem größeren Netzwerk identischer Roboter wird, was dem Wort Botnet seine Bedeutung verleiht.
„Malware infiziert einen ahnungslosen, legitimen Computer, der dem Botnet-Betreiber zurückmeldet, dass der infizierte Computer nun bereit ist, blindlings Befehle zu befolgen“, erklärt Nasser Fattah, Vorsitzender des nordamerikanischen Lenkungsausschusses bei Shared Assessments. „All dies geschieht ohne das Wissen des Besitzers des Computers. Ziel ist es, die Größe des Botnetzes zu erhöhen, das gemeinsam große Angriffe automatisieren und beschleunigen kann.“
Auf die Einzelheiten der möglichen Angriffsarten gehen wir gleich ein, doch zunächst wollen wir uns ansehen, wie Botnets entstehen und welche Form sie haben.
Botnet-Architektur
Ein Botnet ist ein Beispiel für ein verteiltes Computersystem, das über das Internet betrieben wird – ein recht frühes Beispiel für die weit verbreitete Verwendung dieser Idee in der realen Welt. Die Personen oder Teams, die ein Botnet betreiben, die so genannten Controller oder Herders, müssen unwillige Computer für ihre Armee rekrutieren und dann ihre Aktivitäten mit Gewinnabsicht koordinieren. Die Architektur, die zur Bildung und Aufrechterhaltung von Botnets beiträgt, besteht aus mehreren Komponenten.
Botnet-Malware. Hacker übernehmen die Kontrolle über Zielcomputer mithilfe von Malware. Es gibt eine Vielzahl von Vektoren, über die Malware auf Computer gelangen kann, von Phishing- und Watering-Hole-Angriffen bis hin zur Ausnutzung ungepatchter Sicherheitslücken. Dieser bösartige Code ermöglicht es dem Angreifer, den kompromittierten Computer zu Aktionen zu zwingen, ohne dass der Besitzer etwas davon merkt. „Die Malware selbst versucht oft nicht, etwas zu stehlen oder Schaden anzurichten“, erklärt Jim Fulton, Vice President bei Forcepoint. „Stattdessen versucht sie, im Verborgenen zu bleiben, damit die Botnet-Software unbemerkt weiterarbeiten kann.“
Botnet-Drohnen. Sobald ein Gerät vom Angreifer übernommen wurde, wird es als Drohne bezeichnet – es ist nur ein weiterer Soldat in der Armee des Botnets, obwohl es über ein gewisses Maß an Autonomie und in einigen Fällen über künstliche Intelligenz verfügt. „Eine Botnet-Drohne kann andere Computer und Geräte mit einer gewissen Intelligenz rekrutieren, wodurch es schwieriger wird, sie zu finden und zu stoppen“, sagt Andy Rogers, Senior Assessor bei Schellman. „Sie findet anfällige Hosts und lädt sie ohne Wissen des Benutzers in das Botnetz ein.“
Alle Arten von Geräten, die mit dem Internet verbunden sind, können in Drohnen verwandelt werden, von PCs über Handys bis hin zu IoT-Geräten. Letztere, wie internetfähige Sicherheitskameras oder Kabelmodems, könnten für Angreifer sogar besonders interessant sein, sagt Dave Marcus, Senior Director of Threat Intelligence bei LookingGlass Cyber. „Bei solchen Geräten neigen die Leute dazu, zu vergessen, dass sie da sind, weil man sie einmal einschaltet, und das war’s dann“, erklärt er. „Oder bei Geräten wie Routern und Switches wollen die Leute keine Updates durchführen, weil sie Angst haben, etwas falsch zu machen. In beiden Fällen kann das dazu führen, dass die Geräte ungepatcht und angreifbar bleiben.
Aus der Sicht der Botnet-Kontrolleure liegt der Schlüssel jedoch darin, dass es viele Drohnen gibt, die wie ganz normale Computer aussehen, sagt Ido Safruti, Mitbegründer und CTO von PerimeterX. „Indem er die Geräte ‚legitimer‘ Menschen mit Malware infiziert, gewinnt der Betreiber eines Botnetzes Ressourcen, indem er private IP-Adressen nutzt, die wie legitime Nutzer aussehen, und er gewinnt freie Rechenressourcen, die Aufgaben ausführen können.“
Botnet Command and Control (C2). Das letzte Teil des Puzzles ist der Mechanismus, mit dem diese Bots gesteuert werden. Frühe Botnets wurden in der Regel von einem zentralen Server aus gesteuert, was es jedoch relativ einfach machte, das gesamte Netzwerk auszuschalten, indem man den zentralen Kontrolleur ausfindig machte und ihn ausschaltete. Moderne Botnets arbeiten nach einem Peer-to-Peer-Modell, bei dem Befehle von Drohne zu Drohne weitergegeben werden, wenn diese ihre individuellen Malware-Signaturen über das Internet erkennen. Die Kommunikation von den Bot-Herdern und zwischen den Bots kann über verschiedene Protokolle erfolgen. Internet-Relay-Chat (IRC), ein Chat-Protokoll der alten Schule, wird immer noch häufig verwendet, da es relativ leichtgewichtig ist und leicht auf Bots installiert werden kann, ohne so viele Ressourcen zu verbrauchen, dass die Benutzer einen Leistungseinbruch bemerken. Es werden aber auch eine Reihe anderer Protokolle verwendet, darunter Telnet und normales HTTP, was die Erkennung des Datenverkehrs erschwert. Einige Botnets nutzen sogar noch kreativere Mittel zur Koordination, indem sie Befehle auf öffentlichen Websites wie Twitter oder GitHub veröffentlichen.
So wie die Botnets selbst sind auch die verschiedenen Komponenten der Botnet-Architektur verteilt. „Hacker sind Spezialisten, und die meisten Gruppen arbeiten als Partner in einem losen Verbund mit anderen Gruppen von Hackern“, sagt Garret Grajek, CEO von YouAttest. „In der Welt der Malware kann es eine Gruppe geben, die eine neue, unveröffentlichte Schwachstelle ausnutzt, eine andere Gruppe, die dann die Nutzlast des Botnetzes erstellt, und eine weitere Gruppe, die das Command and Control Center kontrolliert.“
Was macht ein Botnet?
Distributed Denial of Service (DDoS)-Angriffe sind vielleicht die bekannteste und beliebteste Art von Botnet-Angriffen. Diese Angriffe, bei denen Hunderte oder Tausende von kompromittierten Computern versuchen, mit legitim aussehendem Webverkehr auf einen Server oder eine andere Online-Ressource zuzugreifen und diese dabei außer Betrieb zu setzen, sind ohne ein Botnet eigentlich nicht möglich. Sie sind auch relativ leicht zu starten, da fast jedes Gerät, das infiziert werden kann, über Internetfähigkeiten und zumindest einen rudimentären Webbrowser verfügt.
Aber es gibt noch viele andere Möglichkeiten, die Angreifer mit ihren Botnets nutzen können – und das letztendliche Ziel kann die Art der Geräte bestimmen, die die Botnet-Ersteller zu infizieren versuchen, erklärt Marcus von LookingGlass Cyber. „Wenn ich mein Botnet für das Bitcoin-Mining nutzen möchte, habe ich es vielleicht auf IP-Adressen in einem bestimmten Teil der Welt abgesehen, weil diese Maschinen etwas leistungsfähiger sind – sie haben einen Grafikprozessor und einen CPU und die Leute werden die Auswirkungen nicht unbedingt bemerken, wenn im Hintergrund gemined wird“, sagt er. „Es kommt also auf die Frage an: Werde ich diese Maschine auch zum Sammeln von Anmeldedaten verwenden? Möchte ich ihn vielleicht für Spamming verwenden? Für eine Phishing-Kampagne? Für eine Watering-Hole-Site?“
Aber bedenken Sie, dass die Opfer dieser Art von Angriffen zwar den Zorn des Botnetz-Kontrolleurs zu spüren bekommen, die Besitzer der Bots selbst aber nie erfahren sollen, dass ihre Rechner alles andere als unschuldig sind. „Es hängt einfach davon ab, wie viel der Betreiber glaubt, dass er damit durchkommt“, sagt Marcus. „Mit einer hochfunktionalen Malware, die viele verschiedene Dinge tut, erhöht sich die Wahrscheinlichkeit, dass man auf dem Rechner entdeckt wird, weil der Besitzer sagen wird: “ Mit diesem Rechner stimmt etwas nicht, er läuft langsam.“
Beispiele für Botnets
Während DDoS-Angriffe heute vielleicht die meiste Aufmerksamkeit erhalten, war Spam der Zweck des allerersten Botnets. Khan C. Smith baute 2001 eine Armee von Bots auf, um sein Spam-Imperium zu unterstützen, und verdiente damit Millionen von Dollar. Letztendlich wurde er vom Internetdienstleister EarthLink erfolgreich auf 25 Millionen Dollar verklagt.
Eines der wichtigsten Botnetze der letzten Jahre war Mirai, das 2016 kurzzeitig einen großen Teil des Internets lahmlegte. Mirai wurde von einem College-Studenten aus New Jersey geschrieben und entstand aus einem Krieg zwischen Hosts von Minecraft-Servern, aber der Code ist heute noch in freier Wildbahn und wird immer noch für Angriffe verwendet. Mirai zielte speziell auf über das Internet angeschlossene Überwachungskameras ab, um sie in Drohnen zu verwandeln, was zeigt, wie wichtig IoT-Geräte als Angriffsfläche geworden sind.
Es gibt jedoch noch zahlreiche andere Beispiele für Botnet-Stämme im Internet, sagt Kevin Breen, Director of Cyber Threat Research bei Immersive Labs. „Größere Botnets wie TrickBot nutzen Malware wie Emotet, die sich bei der Installation eher auf Social Engineering stützt“, erklärt er. „Diese Botnetze sind in der Regel widerstandsfähiger und werden für die Installation zusätzlicher bösartiger Software wie Banking-Trojaner und Ransomware verwendet. In den letzten Jahren haben die Strafverfolgungsbehörden mit einigem Erfolg versucht, diese großen Botnets der Finanzkriminalität zu stören. Mit der Zeit scheinen sich die Botnetze jedoch immer wieder zu erholen.
Botnets zum Verkauf
Wir haben bereits auf die vielen spezialisierten Akteure hingewiesen, die sozusagen in der „Lieferkette“ der Botnets tätig sind. Tatsächlich bauen die meisten dieser Hacker ihre Botnets nicht für den persönlichen Gebrauch, sondern erstellen sie wie jeder andere Softwareentwickler auch: um sie an Leute zu verkaufen, die sie nutzen wollen. Diese Verkäufe finden auf verschiedenen Ebenen der Geheimhaltung statt. So kann man beispielsweise relativ leicht Dienste googlen, die sich selbst euphemistisch als „Stresser“ oder „Booter“ bezeichnen. „Die auf dem Markt befindlichen ‚Stresstest‘-SaaS-Lösungen bieten Dienste an, die beispielsweise über PayPal erworben werden können, um die Belastbarkeit des eigenen Netzwerks oder Systems zu bewerten“, so Fattah von Shared Assessments. „Einige dieser Dienste können Bot-Hirten sein, die ihre Fähigkeiten offen verkaufen, ohne dass eine Überprüfung des Auftraggebers oder des Ziels stattfindet.
Breen von Immersive Labs merkt an, dass diejenigen, die Botnet-Software herunterladen möchten, diese auch ohne große Schwierigkeiten finden können. „Mit einer schnellen Google-Suche nach den richtigen Begriffen kann man Foren finden, die dieselben Dienste verkaufen und auch Quellcode und geleakte Versionen von Botnets anbieten“, sagt er. „Das wird typischerweise von Skript-Kiddies genutzt, die Dinge wie die Verbreitung von Krypto-Minern vorantreiben wollen.“
Aber die echten Profis operieren im Dark Web und können schwer zu finden sein. „Diese Marktplätze werden in der Regel überprüft und sind nur auf Einladung zugänglich“, sagt Josh Smith, Analyst für Cyber-Risk bei Nuspire. Aber wenn man erst einmal dort ist, ist der Prozess bemerkenswert kundenfreundlich. „Die Verkäufer haben ähnliche Reputationswerte wie auf vielen anderen digitalen Marktplätzen.
„Viele dieser Dienste verfügen über eine einfach zu bedienende Schnittstelle, bei der man das Botnet auf eine IP oder URL richtet und auf die Schaltfläche ‚Angriff‘ klickt“, so Rogers von Schellman. „Direkt von Ihrem Browser aus können Sie eine Website oder einen Server lahmlegen, und mit Kryptowährung für die Transaktion können Sie ziemlich anonym bleiben.“
Und wenn Sie einen anspruchsvolleren Service von Ihrem Bot-Herder bevorzugen, dann können Sie diesen auch bekommen. „Anspruchsvollere Bedrohungsakteure wie Ransomware-Banden arbeiten möglicherweise direkt mit den Betreibern eines großen Botnetzes wie TrickBot, Emotet oder Qakbot zusammen, um Spear-Phishing-Kampagnen in großem Umfang zu versenden“, sagt Laurie Iacono, Associate Managing Director of Cyber Risk bei Kroll. „Sobald die Rechner infiziert sind, sammelt die anfängliche Malware Informationen, die den Ransomware-Verteilern dabei helfen, das Netzwerk zu infiltrieren und die Privilegien zu erweitern, bevor die Ransomware eingesetzt wird.“
Wie hoch sind die Kosten? „Der Wert des Zugangs zu einem Botnet kann bis zu 10 Dollar pro Stunde betragen“, sagt Anurag Gurtu, CPO von StrikeReady. Aber man bekommt das, wofür man bezahlt. „Wenn man einen Bot eines bestimmten Typs in einem bestimmten Teil der Welt haben möchte, wird es ein wenig teurer“, sagt Marcus von LookingGlass Cyber. „Bestimmte Teile der Welt haben qualitativ bessere Maschinen. Ein Botnet, das auf Maschinen und IP-Adressen in den Vereinigten Staaten basiert, ist also viel teurer als ein EU-Botnet, da es sich um leistungsfähigere Geräte handelt.“
Wie man einen Botnet-Angriff verhindert oder stoppt
Die Absicherung gegen Botnets kann zwei verschiedene Formen annehmen: Entweder Sie verhindern, dass Ihre eigenen Geräte zu Bots werden, oder Sie wehren Angriffe ab, die von Botnets gestartet werden. In beiden Fällen gibt es, wie dieser Artikel hoffentlich deutlich gemacht hat, nicht viel, was Sie tun können, um sich zu verteidigen, was nicht bereits Teil einer guten Sicherheitsvorkehrung ist. Hacker verwandeln Geräte mit Malware, die über Phishing-E-Mails verbreitet wird, in Bots. Stellen Sie also sicher, dass Ihre Mitarbeiter wissen, dass sie keine Phishing-E-Mails öffnen dürfen. Sie hacken sich in unsichere IoT-Geräte ein. Stellen Sie also sicher, dass Sie die Passwörter dieser Geräte auf etwas anderes als die Standardwerte setzen. Wenn es Hackern gelingt, Malware auf Ihren Computern einzuschleusen, benötigen Sie ein aktuelles Antivirenprogramm, um sie zu erkennen. Wenn Sie Opfer eines DDoS-Angriffs werden, können Sie den angreifenden Datenverkehr herausfiltern oder Ihre Kapazität mit einem Content Delivery Network aufstocken.
Es gibt auch einige Botnet-spezifische Techniken, die Sie einsetzen können, um sich zu schützen. Breen von Immersive Labs schlägt beispielsweise vor, dass Sie auf verdächtigen Datenverkehr achten, der Ihr Netzwerk verlässt. „Die statistische Datenflussanalyse klingt kompliziert, aber sie kann das Vorhandensein von Botnet-Befehls- und Kontrolldatenverkehr aufdecken“.
Andere wiederum nehmen den Kampf gegen die Bot-Herder selbst auf. „Wir verwenden mehrere Tools, um Botnets in ihrem Ursprung zu stoppen“, sagt Mark Dehus, Director of Threat Intelligence bei Lumen Black Lotus Labs. „Sobald ein neues Malware-Muster entdeckt wird, können wir beispielsweise die Methoden, mit denen es sich an einem C2 meldet, nachkonstruieren. Auf diese Weise können wir einen emulierten Bot entwickeln, der sich mit verdächtigen C2s verbinden, sie validieren und die Anweisungen überwachen kann, die sie an die Bots übermitteln.“ Der Kampf gegen Bot-Herder ist langwierig, aber wir hoffen, dass wir das Blatt wenden können.
*Maria Korolov berichtet seit 20 Jahren über neue Technologien und aufstrebende Märkte.
Be the first to comment