{"id":5711,"date":"2015-06-29T10:00:12","date_gmt":"2015-06-29T10:00:12","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=5711"},"modified":"2017-09-27T15:03:01","modified_gmt":"2017-09-27T13:03:01","slug":"ask-expert-kamluk-ddos-botnets","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ask-expert-kamluk-ddos-botnets\/5711\/","title":{"rendered":"Frag den Experten: Vitaly Kamluk beantwortet Fragen zu DDoS und Botnetzen"},"content":{"rendered":"<p>Vitaly Kamluk hat \u00fcber 10 Jahre Erfahrung im Bereich der IT-Sicherheit und ist Principal Security Researcher bei Kaspersky Lab. Er ist spezialisiert auf das Reverse Engineering von Schadprogrammen, Computerforensik und Untersuchungen von Cyberkriminalit\u00e4t. Derzeit lebt Vitaly in Singapur, wo er im Digital Forensics Lab von Interpol mitarbeitet.<\/p>\n<p>https:\/\/instagram.com\/p\/1xKFAOv0I5\/<\/p>\n<p>Wir haben unsere Leser vor einiger Zeit gebeten, Fragen an Vitaly Kamluk einzusenden und es kamen so viele Fragen, dass wir unser Interview in mehrere Teile aufteilen mussten. Heute beantwortet Vitaly Fragen zu DDoS-Attacken und Botnetzen.<\/p>\n<p><strong>Wie viele gro\u00dfe Botnetze gibt es, die mehr als 50.000 Zombie-Computer weltweit enthalten?<\/strong><\/p>\n<p>Ich gehe davon aus, dass das weniger als 20 sind, aber das ist eine reine Spekulation, denn wir k\u00f6nnen die echte Gr\u00f6\u00dfe eines Botnetzes normalerweise erst nach dessen Zerschlagung feststellen. Und auch wenn die Kriminellen ein Interesse daran haben, so viele Computer wie m\u00f6glich zu infizieren, halten sie ihre Botnetze vielleicht unter einer bestimmten Gr\u00f6\u00dfe, um nicht damit aufzufallen.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You can now check to see if your PC is part of the SIMDA botnet \u2013 <a href=\"http:\/\/t.co\/jB2RXKGGYI\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/jB2RXKGGYI<\/a> <a href=\"http:\/\/t.co\/Jgi74gCC87\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/Jgi74gCC87<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/590519203834290177?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 21, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Gibt es gut genug entwickelte Botnetze, die Cluster aus Smartphones, PCs und Macs aufbauen wollen?<\/strong><\/p>\n<p>Manchmal kommt es vor, dass in einem Botnetz sowohl infizierte PCs als auch infizierte Smartphones zu finden sind. Ein gutes Beispiel daf\u00fcr waren Zeus-in-the-Mobile und Zeus for PC. Es gibt auch Botnetze f\u00fcr Macs, aber unserer Erfahrung nach sind sie meist nur f\u00fcr ein System.<\/p>\n<p><strong>Wie entdecken Sie Botnetze? Wo f\u00e4ngt man da an? Was sind die aktuellsten Trends bei Schadprogrammen und Botnetzen?<\/strong><\/p>\n<p>Zun\u00e4chst einmal muss man einen verd\u00e4chtigen Prozess oder eine verd\u00e4chtige Datei auf dem Laufwerk entdecken. Der n\u00e4chste Schritt ist dann die Analyse dieses Objekts und die Ortung der Liste der Commandand-Control-Server (C&amp;C). Anschlie\u00dfend muss man das verwendete Protokoll analysieren und immer wieder Updates vom C&amp;C anfragen.<\/p>\n<p>Zu aktuellen Trends bei Schadprogrammen und Botnetzen geh\u00f6rt die Suche nach zuverl\u00e4ssigen Kontrollmechanismen, die zum Beispiel auf Tor- und P2P-Kommunikationen basieren. Es gibt viele Artikel und Whitepaper zu diesem Thema \u2013 suchen Sie einmal im Internet nach \u201eTor Botnet\u201c.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Default credentials on home routers lead to massive DDoS-for-hire botnet \u2013 <a href=\"http:\/\/t.co\/2SbvLcwcvu\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/2SbvLcwcvu<\/a> <a href=\"http:\/\/t.co\/20O0GWwVOt\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/20O0GWwVOt<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/598462812961255424?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 13, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Was braucht man, um ein Botnetz zu deaktivieren?<\/strong><\/p>\n<p>Die beste M\u00f6glichkeit ist, den Besitzer des Botnetzes zu verhaften. Noch besser ist, gleichzeitig mit dem Besitzer auch den Vertreiber und die Entwickler der Bot-Software, des Exploit-Kits und des Packers zu schnappen.<\/p>\n<p><strong>Woher kommen Botnetze? Welche Programmiersprache wird f\u00fcr die Entwicklung von Botnetz-Software verwendet? Wie k\u00f6nnen wir sicherstellen, dass heimische Systeme nicht mit Botnetzen infiziert sind? Gibt es bei unvorhergesehenen Umst\u00e4nden eine zweite Verteidigungslinie, falls eine Cyber-Attacke nicht neutralisiert wird?<\/strong><\/p>\n<p>Botnetze sind \u00fcberall und die Programmiersprache ist nur eine Frage der Vorlieben des Programmierers. Um sicherzustellen, dass Ihre Systeme nicht zum Teil eines Botnetzes werden, sollten Sie sie mit einer Antivirenl\u00f6sung scannen und sich die Netzwerkkommunikationen ansehen. Sie m\u00fcssen sicherstellen, dass keine fremden und unerwarteten Verbindungen gemacht werden.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Frag den Experten: Vitaly @vkamluk Kamluk beantwortet Fragen zu #DDoS-Angriffen und #Botnetzen<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FUnE6&amp;text=Frag+den+Experten%3A+Vitaly+%40vkamluk+Kamluk+beantwortet+Fragen+zu+%23DDoS-Angriffen+und+%23Botnetzen\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Zur zweiten Verteidigungslinie muss man leider sagen, dass aktuelle Computer-Architekturen so etwas nicht von Haus aus bieten. Jeder Computernutzer ist daf\u00fcr selbst verantwortlich. Eine Bedrohung aus der Ferne zu neutralisieren wird als Netzwerk-Eindringen gewertet und ist in den meisten F\u00e4llen illegal. Denn wenn es einmal kompromittiert wurde, k\u00f6nnen Sie sich nicht komplett auf das infizierte System verlassen, au\u00dfer Sie installieren es neu und das macht das Ganze noch schwerer. Viele Nutzer k\u00fcmmern sich nicht um Computer-Infizierungen, bevor sie dadurch ihr eigenes Geld verlieren.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Statistics on botnet-assisted DDoS attacks in Q1 2015 \u2013 <a href=\"http:\/\/t.co\/aTTLE1KQdq\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/aTTLE1KQdq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/605421173141319680?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 1, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Werden moderne Botnetze per IRC kontrolliert? Reicht es, dem Botnetz-Besitzer die M\u00f6glichkeit der Kontrolle des Botnetzes zu entziehen, um das Botnetz zu zerschlagen?<\/strong><\/p>\n<p>Kriminelle nutzen verschiedene M\u00f6glichkeiten zur Kontrolle von Botnetzen. IRC ist nur eines von vielen Programmprotokollen und hat seine Vor- und Nachteile. Ich w\u00fcrde sagen, dass diese Methode veraltet ist und moderne Botnetze generell mit HTTP aufgebaut werden.<\/p>\n<p>Um Botnetze zu zerschlagen, muss man den Besitzer verhaften. Und genau das machen wir in Zusammenarbeit mit Interpol. Wenn man den Besitzern die Kontrolle \u00fcber ihr Botnetz entzieht, hilft das nur kurzzeitig, da die meisten davon auf solche Gegenma\u00dfnahmen ganz gut vorbereitet sind.<\/p>\n<p><strong>Welche Werkzeuge und Methoden sind die richtigen, wenn man DDoS-Versuche feststellt und Szenarios mit Endanwendern und regionalen, nationalen oder sogar internationalen ISPs bedenkt?<\/strong><\/p>\n<p>Nun, die meisten starken Werkzeuge von Endanwendern bis zu gro\u00dfen ISPs werden immer effektive Filter sein. Aber um diese zu implementieren, muss man zun\u00e4chst die Bedrohung erforschen. Deshalb ist es wichtig, den f\u00fcr die DDoS-Attacke verantwortlichen Bot zu fangen und genau zu analysieren. Die ultimative L\u00f6sung ist die \u00dcbernahme der Kontrollmechanismen des Botnetzes und dessen Abschaltung, aber das ist eine andere Geschichte.<\/p>\n<p><strong>Wie ist es m\u00f6glich, eine verst\u00e4rkte DDoS-Attacke abzuwehren?<\/strong><\/p>\n<p>Verteilen Sie das Ziel der Attacke geographisch und implementieren Sie mehrere Filterebenen.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You asked, <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> answered in this Q&amp;A. Including how <a href=\"https:\/\/twitter.com\/INTERPOL_Cyber?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@INTERPOL_Cyber<\/a> catches the bad guys <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"http:\/\/t.co\/OdmEjOA0ZG\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/OdmEjOA0ZG<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/614068810837065728?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 25, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Wie kann ich wissen, ob ich Teil eines Botnetzes oder eines Bitcoin-Miners bin?<\/strong><\/p>\n<p>Pr\u00fcfen Sie Ihr System auf Schadprogramme, denn es sind die Schadprogramme, die das Bitcoin-Mining ohne Ihre Zustimmung machen w\u00fcrden oder den PC zum Teil eines Botnetzes machen. Zu den effizientesten M\u00f6glichkeiten, das zu pr\u00fcfen geh\u00f6ren folgende:<\/p>\n<ol>\n<li>Scannnen Sie Ihr System mit einer zuverl\u00e4ssigen Antivirus-L\u00f6sung \u2013 das kann Ihnen viel Zeit sparen. Denken Sie aber nicht, dass der automatische Scan 100 Prozent Sicherheit gew\u00e4hrt. Sie m\u00fcssen selbst immer auch vorsichtig bleiben.<\/li>\n<li>Pr\u00fcfen Sie die Prozessliste nach verd\u00e4chtigen und uneingeladenen G\u00e4sten: Meiner Meinung nach sollte ein Anwender alle Prozesse genau kennen, die auf seinem Computer laufen.<\/li>\n<li>Pr\u00fcfen Sie die Liste der automatisch gestarteten Programme. Es gibt daf\u00fcr ein kostenloses Windows-Programm namens Sysinternals Autoruns.<\/li>\n<li>Schlie\u00dflich geh\u00f6rt zu einer fortgeschrittenen Pr\u00fcfung, Ihren Computer an einen anderen (verbunden mit dem Internet) anzuschlie\u00dfen und den gesamten Netzwerkverkehr, der hindurch l\u00e4uft, aufzuzeichnen. Das sollte verd\u00e4chtige Aktivit\u00e4ten sogar dann aufzeigen, wenn diese auf dem kompromittierten System nicht sichtbar sind.<\/li>\n<\/ol>\n<p>Das war der zweite Teil des gro\u00dfen Interviews mit Vitaly Kamluk. Weitere Antworten folgen in den n\u00e4chsten Tagen. Bleiben Sie dran!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Kaspersky-Experte Vitaly Kamluk beantwortet die Fragen unserer Leser zu DDoS-Attacken und dem Schutz vor Botnetzen.<\/p>\n","protected":false},"author":40,"featured_media":5701,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6,2712],"tags":[206,747,1539,1076,328,286,209,1654,1537],"class_list":{"0":"post-5711","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-botnetze","11":"tag-ddos","12":"tag-frag-den-experten","13":"tag-great","14":"tag-interpol","15":"tag-kaspersky-lab","16":"tag-schadprogramme","17":"tag-tips","18":"tag-vitaly-kamluk"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ask-expert-kamluk-ddos-botnets\/5711\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/4983\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/5540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ask-expert-kamluk-ddos-botnets\/5937\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ask-expert-kamluk-ddos-botnets\/6371\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ask-expert-kamluk-ddos-botnets\/6265\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ask-expert-kamluk-ddos-botnets\/5484\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ask-expert-kamluk-ddos-botnets\/8087\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/botnetze\/","name":"Botnetze"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/5711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=5711"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/5711\/revisions"}],"predecessor-version":[{"id":14720,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/5711\/revisions\/14720"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/5701"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=5711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=5711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=5711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}