Botnets sind Netzwerke aus vereinnahmten Rechnern, die für unterschiedliche Betrügereien und Cyberangriffe genutzt werden. Der Begriff „Botnet“ ist aus den Wörtern „Robot“ (Roboter) und „Network“ (Netzwerk) zusammengesetzt. Um ein Botnet aufzubauen, werden in einem mehrschichtigen Verfahren möglichst viele Rechner infiltriert. Die Bots dienen als Instrument, mit dem automatisierte Massenangriffe lanciert werden, um in großem Stil Daten abzugreifen, Server zum Absturz zu bringen oder Malware großflächig zu verbreiten.
Die Betreiber der Botnets nutzen die gekaperten Geräte, um andere
Menschen zu betrügen oder Chaos zu verbreiten. Was uns zu der Frage
führt, was genau ein Botnet-Angriff ist und wie er funktioniert.
Ausgehend von der oben genannten Definition möchten wir in diesem
Beitrag erläutern, wie Botnets entstehen und wozu sie eingesetzt
werden.
Hacker bauen Botnets auf, um schneller größere Angriffe lancieren, automatisieren und durchführen zu können.
Eine einzelne Person und selbst ein kleines Team von Hackern kann nur eine begrenzte Zahl von Aktionen auf ihren lokalen Geräten durchführen. Aber mit geringem Kosten- und Zeitaufwand können sie in großem Stil zusätzliche Rechner erwerben und damit wesentlich effizienter vorgehen.
So kann ein Bot-Hirte aus der Ferne eine große Zahl von vereinnahmten Geräten kommandieren. Sobald sie genügend Bots zusammen haben, steuert einer der Botnet-Betreiber alle weiteren Aktionen mithilfe von programmierten Befehlen. Dabei muss derjenige, der das Kommando übernimmt, das Botnet nicht unbedingt selbst eingerichtet haben, er könnte sich auch eines mieten.
Die Benutzergeräte, die mithilfe einer Malware zum Teil des Botnet gemacht wurden, werden auch als Zombie-Computer oder Bots bezeichnet. Sie folgen willenlos den Befehlen des so genannten Bot-Hirten.
Die grundlegenden Schritte zum Aufbau eines Botnet lassen sich wie folgt zusammenfassen:
In Stufe 1 geht es darum, eine Schwachstelle zu finden, sei es auf einer Webseite, in einem Programm oder im Verhalten eines Menschen. Dabei geht es im Wesentlichen darum, ahnungslose Nutzer dazu zu bewegen, ihre Geräte für eine Malware zu öffnen. In der Regel nutzen Hacker dafür Sicherheitslücken in Software oder auf Webseiten oder verbreiten die Malware über E-Mails und andere Online-Kommunikationskanäle.
In Phase 2 findet die eigentlich Infizierung mit der Botnet-Malware statt, wenn der Nutzer eine Aktion ausführt, mit der sein Gerät unterwandert werden kann. Häufig werden die Nutzer zum Beispiel durch Social Engineering dazu gebracht, einen speziellen Trojaner-Virus herunterzuladen. Eine wesentlich aggressivere Methode ist der so genannte Drive-by-Download, bei dem der Besuch auf einer infizierten Webseite genügt, um den Download in Gang zu setzen. Unabhängig von der Methode überwinden die Cyberkriminellen das Sicherheitssystem der Computer mehrerer Benutzer.
Sobald diese Phase abgeschlossen ist, beginnt der Hacker in Phase 3 die Kontrolle über die einzelnen Computer zu übernehmen. Anschließend fasst er alle infizierten Computer in einem Netz von „Bots“ zusammen, das er aus der Ferne steuern kann. Die Dimension, die so ein Netz erreichen kann, ist atemberaubend. Nicht selten versuchen die Cyberkriminellen Tausende, Zehntausende oder sogar Millionen von Computern zu infizieren und unter ihre Kontrolle zu bringen. Im Ergebnis verfügen sie über ein riesiges „Zombie-Netz“, d. h. ein vollständig in Betrieb gesetztes, aktives Botnet.
Was macht aber nun so ein Botnet? Ein Zombie-Computer ist so weit infiziert, dass er dem Angreifer den Zugriff auf Operationen auf Administrator-Ebene ermöglicht, wie z. B.:
Zur Botnet-Rekrutierung kommt jedes internetfähige Gerät in Frage.
Viele Geräte, die wir heute benutzen, haben irgendeine Form von Computer in sich – auch solche, bei denen Sie das vielleicht gar nicht vermuten würden. Nahezu jedes computergestützte Internetgerät ist ein interessantes Ziel für ein Botnet, was bedeutet, dass sich die Bedrohung ständig ausweitet. Um sich zu schützen, sollten Sie wissen, welche Gerätetypen besonders gerne für Botnets vereinnahmt werden:
Herkömmliche Computer wie Desktops und Laptops, die unter Windows OS oder macOS laufen, sind seit langem beliebte Ziele für den Aufbau von Botnets.
Mobile Geräte sind zu einem weiteren Ziel geworden, da immer mehr Menschen sie benutzen. In der Vergangenheit waren vor allem Smartphones und Tablets an Botnet-Angriffen beteiligt.
Hardware der Internet-Infrastruktur, die zur Herstellung und Verstärkung von Internet-Verbindungen verwendet wird, kann ebenfalls in Botnets integriert werden. Beliebte Ziele sind hier unter anderem Netzwerk-Router und Webserver.
Zu den IoT-Geräten (Internet der Dinge) gehören alle vernetzten Geräte, die untereinander Daten über das Internet austauschen. Außer Computern und mobilen Geräten gehören dazu beispielsweise:
Alle diese Geräte zusammen können mit dem Ziel unterwandert werden, massive Botnets zu schaffen. Der Technologiemarkt ist voll von billigen Geräten mit wenig Sicherheit, deren Nutzer besonders gefährdet sind. Ohne Antiviren-Software können Bot-Hirten Ihre Geräte infizieren, ohne dass Sie etwas davon mitbekommen.
Botnets werden in erster Linie über Remote-Befehle gesteuert. Dabei sind die Angreifer sehr daran interessiert, anonym zu bleiben. Die Fernprogrammierung ist daher ihr Mittel der Wahl.
Command-and-Control (C&C) ist die Server-Quelle für alle Botnet-Anweisungen und die absolute Kontrolle. Dies ist der Hauptserver des Bot-Hirten, von dem jeder Zombie-Computer seine Befehle bekommt.
Jedes Botnet kann in den folgenden Modellen entweder direkt oder indirekt durch Befehle gesteuert werden:
Zentralisierte Modelle werden über den Server des Bot-Hirten gesteuert. In einer Variante dieses Modells können noch weitere Server eingesetzt werden, die als untergeordnete Hirten oder „Proxys“ fungieren. Beiden Modellen, dem zentralisierten wie dem Proxy-basierten, gemeinsam ist, dass alle Befehle stets vom Bot-Hirten an der Spitze der Hierarchie ausgehen. In beiden Fällen besteht die Gefahr, dass der Bot-Hirte zurückverfolgt werden kann, was diese veralteten Methoden für ihn nicht besonders attraktiv macht.
Bei den dezentral verwalteten Modellen ist die Weisungsbefugnis auf alle Zombie-Computer verteilt. Solange der Bot-Hirte nur einen der Zombie-Computer kontaktieren kann, gelangen die Befehle auch an alle anderen Rechner. In einer Peer-to-Peer-Struktur lässt sich die Identität des Bot-Hirten weitgehend verschleiern. P2P hat eindeutige Vorteile gegenüber den älteren zentralisierten Modellen und ist daher mittlerweile das Mittel der Wahl.
Die Ersteller von Botnets können nur gewinnen, sei es indem sie sich bereichern oder persönliche Befriedigung aus ihrem Tun ziehen.
Die Motive, Botnets aufzubauen, sind denen bei anderen Cyberverbrechen sehr ähnlich. In vielen Fällen wollen diese Angreifer entweder etwas Wertvolles stehlen oder andere in Schwierigkeiten bringen.
In anderen Fällen richten Cyberkriminelle den Zugang zu einem großen Netz von Zombie-Rechnern nur ein, um ihn weiterzuverkaufen. Bei den Käufern handelt es sich in der Regel um andere Cyberkriminelle, die das Botnet entweder für einen begrenzten Zeitraum mieten oder komplett erwerben. Spammer haben beispielsweise Interesse an einem solchen Netzwerk, um darüber eine groß angelegte Spam-Kampagne zu starten.
Trotz der vielen potenziellen Vorteile, die sie daraus ziehen können, erstellen manche Leute Botnets auch nur deshalb, weil sie es können. Unabhängig von den Motiven werden Botnets für alle Arten von Angriffen sowohl auf die vom Botnet kontrollierten Benutzer als auch auf andere Personen verwendet.
Botnets können zwar selbst einen Angriff darstellen, sind aber auch ein ideales Mittel, um weitere Betrügereien und kriminelle Machenschaften im großen Stil zu realisieren. Zu den häufigsten Botnet-Praktiken gehören unter anderem:
Ein DDoS-Angriff (Distributed Denial-of-Service) zielt darauf ab, einen Server so intensiv mit Webverkehr zu bombardieren, dass er unter dieser Last zusammenbricht. Alle Zombie-Computer erhalten den Auftrag, zeitgleich auf eine bestimmte Webseite oder einen anderen Online-Dienst zuzugreifen, damit diese für einige Zeit nicht mehr erreichbar sind.
Beim Phishing geben sich Kriminelle als vertrauenswürdige Personen und Organisationen aus, um an wertvolle Informationen zu kommen. In der Regel handelt es sich dabei um eine groß angelegte Spam-Kampagne, die darauf abzielt, Informationen über Benutzerkonten wie Zugangsdaten zu Bank- oder E-Mail-Konten abzugreifen.
Bei einem Brute-Force-Angriff werden Programme ausgeführt, die darauf ausgelegt sind, sich gewaltsam den Zugang zu Webkonten zu verschaffen. Mit Wörterbuchangriffen und Credential Stuffing werden schwache Benutzerkennwörter ausgenutzt, um auf die Daten der Besitzer zuzugreifen.
Angesichts der Gefahren für Ihre eigene Sicherheit und die anderer Personen ist ein guter Schutz vor Botnets heutzutage unerlässlich.
Glücklicherweise können Softwareprogramme und oft auch schon kleine Änderungen in Ihrem Nutzerverhalten Abhilfe schaffen.
Wenn sie sich erst einmal in den Geräten eines Benutzers eingenistet haben, sind Botnets nur schwer wieder loszuwerden. Um Phishing-Angriffe und andere Probleme zu vermeiden, sollten Sie jedes Ihrer Geräte vor einer solch schädlichen Vereinnahmung schützen.
Verwandte Artikel: