Botnet Aufbauen

Botnets: Dunkle Attacke von Zombie-Rechner

Botnets und Bots sind zu einer beliebten Technologie für cyberkriminelle Angriffe geworden. Momentan sind mehrere tausend Bot-Varianten, die in mehreren tausend Botnets zusammengefasst sind, im Intranet. Obwohl das Bundesamt für Sicherheit in der Informationstechnologie (BSI) berichtet, dass 2014 und 2015 zwei Botnets, die ebenfalls in Deutschland tätig waren: Droperbot ( "11.000 Infektionen") und Ramnit ("3,2 Mio. Bots"), stillgelegt wurden, ist die Bedrohung durch Botnets in Deutschland gravierend und nimmt zu.

Allein in der ersten Hälfte des Jahres 2015 wurden laut der Studie zum Stand der IT-Sicherheit in Deutschland bis zu 60.000 Infektionskrankheiten pro Tag verzeichnet. Kürzlich wurde bekannt, dass Täter einen Rechner im Kernkraftwerk Gundremmingen mit Schadsoftware angesteckt hatten. Dieser ist Teil des zur Belademaschine für die Strahlungsbrennelemente gehörenden System.

Anscheinend war dies ein Trojan für den Bau eines Botnets. Doch was ist ein Botnet, wie arbeitet es und wie hoch ist die aktuelle Bedrohungssituation? Das Wichtigste über das bei Internetkriminellen so populäre "Allzweck-Tool" haben wir für Sie zusammengestellt. Die Bezeichnung Botnet besteht aus den Wörtern Bots und Net.

Das sollte nicht geschehen, aber manchmal nehmen Verbrecher die fremden PCs in Besitz und benutzen sie für ihre eigenen Ziele. Der eine Ferncomputer ist ein Roboter, auch bekannt als Zombies. Die Verbindung mehrerer befallener PCs wird als Botnet bezeichne. Zum Aufbau eines Botnetzes befallen Häcker PCs mit Malware und kontrollieren diese dann aus der Entfernung.

Die dementsprechend konfigurierten Boote senden sogenannte SYN-Pakete an den C & C-Server, damit dieser die IP-Adressen der jeweiligen Zone aufnimmt. Das merken die Computerbesitzer meist nicht. Kleine Botnets mit weniger als hundert befallenen PCs. Botnets können auch aus mehreren tausenden, ja gar mehreren zehntausend PCs zusammengesetzt sein.

Die Lebensdauer eines Botnets fängt mit der Infizierung eines Rechners durch die Bot-Software an. Dabei werden Sicherheitslöcher in Betriebssystem oder Programme verwendet, um den bösartigen Code auf den ausländischen Computer zu übertragen. Ein weiterer Weg ist die Verbreitung über E-Mail-Anhänge oder kontaminierte Dateien, z.B. indem der Anwender ein angeblich unbedenkliches Softwareprogramm aus dem Netz lädt und auf seinem Computer einrichtet.

Wenn die Infektion geglückt ist und der Computer mit dem Netz verbunden ist, wird die Malware an den Administrator gemeldet. Es ist aber auch möglich, zusätzliche Malware aus dem Netz herunterzuladen. Botnets werden auch oft für Click-Betrug, die Verbreitung von Lösegeldern und für Angriffe auf andere Netze durch so genannte DDoS-Angriffe verwendet.

Unter Umständen wird die Malware vom Computer selbst gelöscht (meist nach Abschluss der Arbeit), um nicht entdeckt zu werden und keine Spur zu lassen. Das Botnet stellt mit seinen verschiedenen Angriffsoptionen eines der grössten Sicherheitslücken im Netz dar. Botnets und Bots werden oft und gerne für DDoS-Angriffe mißbraucht.

Eine weitere Anwendung für Botnets ist das Spamming: Ohne das Wissen des Benutzers wird der befallene Computer zum Spam-Katapult, indem er Massen von E-Mail-Nachrichten ausgibt. Oft wird mit den Emails auch Malware versandt, um das Botnet weiter auszubauen. Nebenbei bemerkt: Durch Spam kann ein Computer auf die schwarze Liste geschrieben werden, so dass er keine weiteren Emails mehr verschicken kann.

Beeinträchtigte Computer werden oft auch für Phishing-Angriffe missbraucht: Mit diesen werden heimtückische E-Mails verschickt. Darüber hinaus werden die Roboter dazu genutzt, illegale Webseiten zu beherbergen, die personenbezogene Informationen stehlen oder gestohlenen Informationen sammeln. Botnets erregten im Frühjahr 2000 zum ersten Mal Aufsehen. Obwohl Mafiaboy damals keine Botnets für seine Attacken einsetzte, warnte Sicherheitsexperte daraufhin, dass Botnets eine große und nicht zu unterschätzende Bedrohung für die Unversehrtheit und Sicherheit des Internet darstellen.

Mit Zeus, Mariposa, Konficker und Kélihos wurden nämlich schon wenige Jahre später einige der berühmtesten und beliebtesten Botnets geschaffen. So anders wie ihre Bezeichnungen waren auch die Tore und Leidtragenden dieser Botnets: Die berüchtigten Kelihos-Botnets haben zwischen 2011 und 2013 nicht nur Login-Daten gestohlen, sondern waren auch für groß angelegten Bitmünzdiebstahl und Spam zuständig.

Zum Beispiel hat er mit Viagra-Spam millionenfach E-Mail-Konten beschossen. Angeblich bestand das Botnet aus 13 Mio. Computern aus über 190 Nationen. Zwischen 2009 und 2014 infizierten die beiden Unternehmen 500.000 bis 1 Mio. Rechner mit Windows-Betriebssystemen auf der ganzen Welt. Auch die infizierten Rechner wurden zur Ausbreitung von Spam genutzt.

Im Jahr 2009 hat Konficker vor allem die Gesundheitswesen, das militärische und das Verwaltungswesen betroffen und in über 100 Staaten mehrere tausend Rechner lahmgelegt. Außerdem hat er den Sicherheitsdienst deaktiviert, wodurch Rechner noch stärker für weitere Infektionskrankheiten anfällig werden. Die angeblich toten Botnetze wurden am Samstag, den 27. Mai 2016 wieder aktiv: Die Uralt-Malware war für die Infektion des oben genannten Computers im Reaktorblock B des Kernkraftwerks Gundremmingen mitverantwortlich.

Das Problem ist, einen Botbefall zu entdecken, da Botnets die üblichen Sicherungsmechanismen umgehen oder wenigstens unbenutzbar machen. Allerdings kann niemand Ihren Computer leicht in einen Roboter verwandeln. Das ist nur mit installierter Malware möglich. Schutz eines ganzen Bündels von Sicherheitsmaßnahmen, das aus einer Antivirensoftware zur permanenten und aktuellen Überwachung des Computers, einer Verhaltensüberwachungssoftware und der Einrichtung von regelmäßigen Sicherheitsupdates, Spamfiltern und einer Desktop-Firewall zusammengesetzt ist.