Ein Botnet oder Botnetz ist eine Gruppe automatisierter Schadprogramme, sogenannter Bots.
Die Bots (von englisch: robot „Roboter“) laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen, ohne Einverständnis des Eigentümers, zur Verfügung stehen. In Deutschland gab es 2010 über 470.000 solcher Bots, von denen im Durchschnitt etwa 2.000 pro Tag aktiv waren. Die Initiative botfrei.de des Verbandes der Internetwirtschaft ECO stellte 2014 bei 220.000 stichprobenartig untersuchten Computern 92.000 verseuchte Systeme mit rund 725.000 infizierten Dateien fest, woraus sich eine Infektion von ca. 40 Prozent aller Computer in Deutschland errechnet. Laut Bericht zur Lage der IT-Sicherheit in Deutschland 2015 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden im ersten Halbjahr 2015 in Deutschland täglich bis zu 60.000 Systeme neu infiziert. Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz-Operator (auch Bot-Master oder Bot-Herder genannt) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache als Command-and-Control-Server bezeichnet; Kurzform: C&C-Server.
Ein Bot stellt dem Betreiber eines Botnetzes je nach Funktionsumfang verschiedene Dienste zur Verfügung. Derweil mehren sich multifunktional einsetzbare Botnets. Der Botmaster kann so flexibel auf andere Einsatzmöglichkeiten umschwenken. Grundsätzlich lassen sich die Verwendungsmöglichkeiten eines Bot-Netzwerks wie folgt unterscheiden:
Bot-Nets liefern eine hervorragende Infrastruktur für die herkömmliche Internetkriminalität. Dies begründet auch ihr rasantes Wachstum.
Die weitaus meisten Bots bieten eine Kommunikationsmöglichkeit mit dem Betreiber des Botnetzes, wobei auch sogenannte Command-and-Control-Server (aus englisch command and control server; kurz C&C-Server oder C2) eingesetzt werden. Dies umfasst den Abruf von Daten von einem Bot sowie das Verteilen von neuen Anweisungen.
IRC wurde in den 1990ern zu einer populären Internet-Chat-Lösung. Legitime und nützliche Bots, wie zum Beispiel Eggdrop, wurden entwickelt, um den Anwender bei der IRC- und Kommunikationsverwaltung zu helfen. Diese einfache Technik ist dann zur ersten C&C-Strategie geworden. Bei der Kommunikation über einen IRC-Channel stellen die Bots eine Client-Verbindung zu einem IRC-Server her. Befehle werden ohne Verzögerung von den Bots ausgeführt, und der Betreiber erhält sofort eine Rückmeldung der Bots. Ein IRC-C&C-Server ist für einen Bot-Operator sehr einfach zu erstellen und zu verwalten. Ist ein Computer infiziert, versucht der Zombie, sich zu dem IRC-Server und Channel zu verbinden. Wenn die Verbindung erfolgreich war, so kann der Bot-Operator den Bot steuern. Dies kann individuell über private Nachrichten oder global an alle Zombies innerhalb des Channels erfolgen. Um dies effizienter zu gestalten, erstellen einige Bot-Operator ein „Thema“ für den Channel, das ein Kommando für die Bots darstellt, wie zum Beispiel Aktualisierungen oder eine DDoS-Attacke durchzuführen.
Vorteile der IRC-Technik:
Gefolgt von dem Einsatz von privaten Servern und Passwörtern wurden C&C-Techniken immer weiter verbessert. Die erste Technik benutzt mehrere miteinander verbundene IRC-Server, die die gewöhnliche IRC-Technik verwenden. IRC ist in einer Art und Weise konzipiert, dass mehrere Server miteinander verbunden werden können, um ein Netzwerk von Servern zu bilden. Bei der Verwendung dieser Technik werden die Adressen aller Server in den Bot fest eingetragen. Dieser versucht sich dann mit jeder dieser eingetragenen Adressen zu verbinden. Ist eine Verbindung zwischen Server und Client hergestellt, dann meldet sich der Bot an dem Channel an, in dem der Bot-Operator Anweisungen gibt. Für Botnetzjäger wird es schwierig das gesamte Netzwerk lahmzulegen, besonders wenn immer wieder neue Server hinzugefügt werden. Sind die Adressen des C&C-Servers fest in den Bot implementiert, so kann dieser den Server nicht mehr erreichen, wenn die Adressen gesperrt werden. Wie man sieht, hat diese Technik ihre Grenzen, weshalb DNS-Einträge eingeführt wurden.
DNS wird unterteilt in Domain Names und Multihoming. Der Unterschied zwischen den beiden ist, dass bei Domain Names verschiedene Domänen auf die gleiche IP-Adresse zeigen, während bei Multihoming eine Domäne auf mehrere unterschiedliche IP-Adressen verweist.
Die Einführung von Domain Names und Multihoming haben die Bot-Herder dabei unterstützt, die Ausfallsicherheit der C&C-Server zu erhöhen.
Heutzutage können Tools für einige hundert Dollar oder weniger gekauft werden. Diese Tools beinhalten meistens an webbasierte Sicherheitslücken individuell angepassten Schadcode, der nicht von den Antiviren-Programmen erkannt wird, und eine webbasierte Command-and-Control-Engine, die eine Backend-Datenbank zum Speichern von gestohlenen Informationen enthält. Da die Benutzeroberfläche von webbasiertem C&C sehr einfach zu bedienen ist, ist sie bei vielen Bot-Herdern sehr beliebt.
Bots können so konfiguriert werden, dass sie wiederholt SYN-Pakete zum C&C-Server schicken, damit der Server die IP-Adressen der Zombies erhält. Mithilfe dieser IP-Adresse kann der Angreifer dem Client verschlüsselte Bot-Kommandos und Daten schicken.
Die Kommunikation über HTTP mit einer Webanwendung funktioniert ohne persistente Verbindung, die Bots übertragen Daten und fragen nach neuen Befehlen in Intervallen. HTTP-Botnetze erfreuen sich zunehmender Beliebtheit, da das Aufsetzen der Administrations-Infrastruktur im Vergleich zu einem IRC-Server einfacher ist und die Kommunikation der Bots weniger auffällt.
Manche Botnetze installieren automatisch Reverse Proxys auf den infizierten Systemen, um so den wahren Standort des C&C-Servers zu verschleiern. Dabei reichen die infizierten Systeme die Anfragen mehrfach weiter ähnlich dem Prinzip von TOR.
Webbasiertes C&C hat gegenüber der traditionellen IRC-Lösung folgende Vorteile:
Es gibt zwei Typen von webbasierten Botnets:
Peer-to-Peer-Netzwerke wurden durch Dienste wie Musik- und File-Sharing immer populärer. Innerhalb weniger Jahre, nachdem die ersten Bots entstanden waren, begannen Bot-Herder, ihre eigenen P2P-Netzwerke zu erstellen, um Bots zu verwalten. Diese Technik ist eine sehr effiziente Möglichkeit für den Bot-Operator, seine Botnetze ohne eine zentrale Kontrollstruktur zu verwalten. Die Zombies können als Client und Server fungieren, das heißt, jeder Knoten kann Befehle erteilen und erhalten. Jeder einzelne Knoten des P2P-Netzwerkes ist für den Bot-Operator erreichbar, über den er dann das gesamte Netzwerk kontrollieren kann. Zum Beispiel kann sich der Bot-Operator zu einem Zombie verbinden und diesen zu einer Aktualisierung veranlassen. Dies startet eine Kettenreaktion: Alle anderen Bots in dem P2P-Netzwerk laden die Aktualisierung ebenfalls herunter und synchronisieren sich gegenseitig entsprechend der Konfigurationsdatei, die der Hacker in die Zombies eingespielt hat. Einen Angreifer in so einer verteilten P2P-Netzwerklösung zu identifizieren, ist praktisch unmöglich. Andererseits kann ein einfacher Peer andere Bots finden. P2P-Netzwerke sind generell leichter anhand des Netzwerkdatenverkehrs zu erkennen, den die Zombies generieren.
Wie mit vielen anderen Protokollen wurde auch mit FTP als Control Channel experimentiert. Heutzutage ist diese Art nicht oft vorzufinden. Jedoch gibt es einen Bottyp, der regelmäßig einen FTP-C&C-Bericht erstattet, und zwar der Phishing- oder Banking-Trojaner. Diese Bots, wie zum Beispiel Dumador oder Haxdoor, sind grundsätzlich Keylogger, mit dem Unterschied, dass sie sehr viel umfangreicher sind. Sie überwachen („sniffing“) den Datenverkehr, wenn der Anwender auf dem kompromittierten System im Internet surft. Betritt der Anwender eine verschlüsselte Webseite (HTTPS), dann führen sie einen Man-in-the-Middle-Angriff am Computer selbst aus. Da dieser Angriff in der Opfermaschine selbst stattfindet, wird sie auch oft Man-on-the-Inside-Angriff genannt. Der Bot präsentiert dem User eine gefälschte Webseite. Mit dieser Technik ist es möglich, Authentifizierungsdaten etc. aufzuzeichnen. Die gestohlenen Daten werden dann auf einen FTP-Server hochgeladen, wo sie der Bot-Operator warten kann. Bot-Operator erstellen meist ausführliche Statistiken über die Daten sowie ihre Herkunft.
Die Top-10-Länder, in denen 2008 Botnet Command-and-Control-Server identifiziert werden konnten, waren:
Das Erweitern eines Botnetzes erfolgt durch Installieren der Bots auf einem noch nicht angebundenen Computer. Um möglichst viele Ressourcen zur Verfügung zu haben, versuchen die Betreiber, eine hohe Anzahl von Rechnern unter ihre Kontrolle zu bekommen. Die Installation erfolgt meistens für den Anwender unsichtbar. Während des Betriebs eines Botnetzes kommen immer wieder neue Rechner hinzu, andererseits scheiden solche aus, bei denen der Bot entfernt wurde.
Die Verbreitung findet auf folgenden Wegen statt:
Laut einer Studie von 2008 des Antivirus-Herstellers Kaspersky Lab war jeder zehnte PC Teil eines Botnets. Damit würden sie eine der größten illegalen Einnahmequellen im Internet darstellen.
Die Jahresstatistik von botfrei.de weist aus, dass 2014 40 % von 220.000 gescannten Rechnern mit Bots infiziert waren. Im Jahresverlauf seien auf mehr als 92.000 verseuchten Systemen knapp 725.000 infizierte Dateien entdeckt worden. Dies sei ein alarmierender Wert und stelle eine Zunahme zum Vorjahr dar.
Allgemein werden vorbeugende Maßnahmen empfohlen. Eine generelle Schutzmaßnahme ist zum Beispiel die Wahl von sicheren Kennwörtern für Router, Netzwerke und vernetzte Geräte im Internet der Dinge. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt zum Beispiel auch, die UPnP-Funktion bei Routern zu deaktivieren, um zu verhindern, dass Geräte im Rahmen von Botnets für Denial-of-Service-Attacken missbraucht werden können.
Bekannt seit | Abgeschaltet seit | Name | Maximale Botzahl | Milliarden Spammails pro Tag | Weitere Namen, Bemerkungen |
---|---|---|---|---|---|
Mai 2009 | Oktober 2010 | BredoLab | 30.000.000 | 3,6 | Oficla |
Mai 2009 | Dezember 2009 | Mariposa | 13.000.000 | ? | Bots in 190 Ländern; sammelte Daten von über 800.000 Internetnutzern, u. a. Website-Zugangsdaten |
Oktober 2008 | – | Conficker | 9.000.000 | ? | DownUp, DownAndUp, DownAdUp, Kido |
2006 | März 2011 | Rustock | 1.700.000 | 44,1 | RKRustok, Costrat |
Januar 2007 | – | Cutwail | 1.600.000 | 74 | Pandex, Mutant, Pushdo |
März 2007 | – | Srizbi | 1.300.000 | 60 | Cbeplay, Exchanger |
Juni 2017 | Sivad | 1.100.000 | ? | Bitcoin miner, keylogger | |
? | Juli 2012 | Grum | 1.100.000 | 39,9 | Tedroo |
2004 | – | Bagle | 780.000 | 17,3 | |
August 2009 | – | Maazben | 770.000 | 4,8 | |
? | – | Gheg | 500.000 | 0,44 | Tofsee, Mondera |
? | – | Kraken | 400.000 | 9 | Kracken |
? | – | Bobax | 370.000 | 14,6 | Bobic, Oderoor, Cotmonger |
Ende 2009 | – | Lethic | 350.000 | 2 | |
August 2009 | – | Festi | 220.000 | 1,4 | |
? | – | Mega-D | 180.000 | 10 | Ozdok |
? | – | Torpig | 180.000 | ? | Sinowal, Anserin |
Januar 2007 | – | Storm | 160.000 | 3 | Nuwar, Peacomm, Zhelatin |
? | – | Donbot | 125.000 | 0,8 | Buzus, Bachsoy |
November 2008 | Februar 2010 | Waledac | 80.000 | 1,5 | |
März 2009 | – | Cimbot | 48.000 | 1,9 | |
? | Juli 2012 | Grum | 120.000 | 18,0 | |
September 2011 | – | Flashback | 670.000 | ? | Flashfake |
Juni 2013 | Star Wars Botnet | 350.000 |
In vielen Foren wird offen für die Umsetzung von Bot-Angriffen geworben. Die Preise für 24-Stunden-Angriffe schwanken zwischen 50 und einigen tausend Dollar.
This article uses material from the Wikipedia Deutsch article Botnet, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). Abrufstatistik · Autoren Der Inhalt ist verfügbar unter CC BY-SA 4.0, sofern nicht anders angegeben. Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki Deutsch (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.