Bot Netze Aufspüren

Bot-Netzwerk-Tracking

Erste-Hilfe-Tools, mit denen Sie überprüfen können, ob Ihr Computer mit Malware infiziert ist oder Teil des Avalanche-Botnetzes ist. Der Bot-Virus unterscheidet sich von einem herkömmlichen Virus: dem kriminellen Ban-. Evil Minions: Wie Botnets arbeiten und wie sie anerkannt werden

Botnetze sind unter den verschiedenen Arten von Schadprogrammen die häufigste und eine ernstzunehmende Gefahr, die bei den Cyber-Angriffen von heute üblich ist. Botnetze sind eine Gruppe von kontaminierten Computern, die von ihrem Ersteller (BotMaster) aus der Ferne gesteuert werden und über eine einfache Befehls- und Steuerungsinfrastruktur (C&C) gesteuert werden. Diese bieten eine dezentralisierte Basis für diverse rechtswidrige Handlungen wie verteilte Denial-of-Service-Angriffe auf wichtige Zielpersonen, Verbreitung von Schadsoftware, Pishing und Klicken.

Fachleute gehen davon aus, dass etwa 16 bis 25 % der mit dem Netz verknüpften Computer Teil eines Botnetzes sind. Statistische Angaben von Netzwerksicherheitsfirmen zeigen, dass etwa 80 % des E-Mail-Verkehrs Spam ist und die meisten dieser E-Mails über Botnetze verschickt werden. Im Jahr 2010 hat Symantec eine Werbung auf einem Underground-Forum veröffentlicht, in der ein Botnetz mit über 10000 Robotern (Provisionslink) für 15 US-Dollar beworben wurde.

So ein Botnetz könnte als Spam-Verteiler, aber auch für einen Distributed Denial of Service -Angriff eingesetzt werden. Im Nachhinein haben Botnetze ihren Ausgangspunkt im IRC (Internet Relay Chat), einem Text-basierten Chat-System, das die gesamte Organisation der Korrespondenz in Channels übernimmt. Der Begriff Bots ist nicht notwendigerweise auf schädliche Verhaltensweisen ausgelegt: Der Grundgedanke hinter den Botnetzen war es, die Interaktion in IRC-Chaträumen zu managen.

Diese waren in der Lage, einfachste Befehle zu deuten, Administrationsunterstützung zu bieten, einfachere Games und andere Dienste für Chatbenutzer anzubieten und Information über Betriebssysteme, Logins, E-Mail-Adressen, Aliase, etc. zu verfolgen. Die neuen Roboter benutzen kompliziertere Methoden, um mit dem Roboter zu kommunizieren, indem sie andere erhältliche Programme benutzen, um sich wie ein Wurm zu verbreiten, sich wie ein Virus zu verstecken und große, abgestimmte Attacken zu lancieren.

Heutzutage können sich Bots über Filesharing-Netzwerke, P2P-Netzwerke, E-Mail-Anhänge, infizierte Websites und Backdoors ausbreiten. Zwischen den Bots kann die Verbindung über unterschiedliche Kommunikationsprotokolle wie IRC, HTTP und P2P ablaufen. In der Regel muss ein befallener Rechner diese vier Schritte durchlaufen, um Teil eines Botnetzes zu werden: Bei jedem erneuten Start des Rechners wird diese Etappe geplant, um dem Bot-Master zu gewährleisten, dass der Bot am Botnetz mitwirkt.

Sie erfolgt mehrmals im Laufe des Lebens eines Bot. Im vierten Arbeitsschritt werden Befehle vom Bottommaster empfangen und bösartige Aktionen durchgeführt. Das Spektrum der bösartigen Tätigkeiten, die Roboter ausführen können, ist groß: Datendiebstahl, DDoS-Angriffe, Verbreiten von Schadsoftware, Erpressungen, Datendiebstahl, Ausspähen des Netzwerkverkehrs, Suche nach gefährdeten und nicht geschützten Computern, Verbreiten von Spam, Pishing, Identitätsklau, Manipulation der Spiele oder Erhebungen und vieles andere mehr.

In der letzten Phase des Lebens eines Bot ist die Wartung und Aktualisierung von Schadprogrammen. Wartung ist notwendig, wenn der Meister sein Botnetz behalten will. Command-and-Control (C&C)-Kanäle für Botnetze lassen sich in zwei Gruppen unterteilen: zentrale und dezentrale C&C-Kanäle. Bei einer zentralen C&C-Infrastruktur können alle Roboter ihre Kommunikationswege mit nur einem oder wenigen Anschlusspunkten aufbauen.

In der Regel sind dies Befehls- und Steuerungsserver, die für das Senden von Befehlen an Roboter und die Bereitstellung von Malware-Updates zuständig sind. Das direkte Feed-back gibt dem Betreiber einen schnellen Einblick in den Zustand des Botnetzes und bietet wichtige Hinweise auf einige grundlegende Merkmale, wie z.B. die Zahl der aktivierten Roboter oder deren weltweite Verbreitung.

Die Hauptproblematik der zentralen Systemarchitektur besteht darin, dass der C&C-Server selbst ein zentrales Problem darstellt - denn er macht es möglich, ein erkanntes Botnetz ganz unkompliziert abzuschalten. Dezentrale, hochmoderne C&C Botnetze erfordern große Anpassungsfähigkeit und Stabilität, um eine große Zahl von Bots zu handhaben und Gewinne zu erwirtschaften. Botnetze mit dezentraler Bauweise sind schwerer zu demontieren:

Die Enthüllung mehrerer Botnetze muss nicht unbedingt den kompletten Botnetz verlieren, da es keinen einzigen C&C-Server gibt, der gefunden und abgeschaltet werden kann. Der Aufbau eines P2P-Botnetzes besteht in der Regel aus zwei Schritten: zum einen der Selektion von Peer-Kandidaten und zum anderen der Umsetzung der notwendigen Prozeduren, um die Peer-Kandidaten zum Teil des Botnetzes zu machen.

Honynetze sind am besten geeignet, um Daten von Robotern zu erhalten. Nachdem die Daten gesammelt wurden, ist es möglich, die eingesetzte Technik zu lernen und zu ergründen. Signaturbasierte Erkennungsverfahren verwenden Unterschriften von gängigen Robotern auf das IDS-System. Der Grundgedanke ist es, sich über spezielle Features aus geprüften Traffic-Paketen zu informieren, solche Patterns zu kennzeichnen und sie in einer Datenbasis über bestehende Bot zu speichern.

Auf Anomalien basierende Verfahren ermöglichen die Erkennung von Botnets, indem sie mehrere unterschiedliche Anomalien des Netzwerkverkehrs untersuchen, darunter hohe Netzwerklatenz, hohes Verkehrsaufkommen, Verkehr auf außergewöhnlichen Anschlüssen und ungewöhnliches Verhalten des Systems, das auf das Vorhandensein von bösartigen Robotern im Netz hindeuten könnte.