Botnetze – eine Verbindung mit Schadenspotenzial
Ein Botnetz ist eine Gruppe von Geräten oder Computern, die von einem Angreifer kontrolliert und dazu verwendet wird, böswillige Aktivitäten gegen ein bestimmtes Opfer auszuführen. Der Begriff „Botnetz“ bzw. „Botnet“ setzt sich aus den Wörtern „Roboter“ sowie „Netzwerk“ zusammen und beschreibt die „Vernetzung von mehreren Robotern“ für einen Cyberangriff. Botnets waren für einige der am weitesten verbreiteten Internetausfälle verantwortlich und haben große Organisationen sowie Netzwerkinfrastrukturen durch einen verteilten Denial-of-Service (DDoS) lahmgelegt. Was Sie über Botnetze noch wissen sollten, erfahren Sie in diesem Blogbeitrag.
Die Funktionsweise von Botnetzen
Um mehrere Geräte zu kontrollieren, müssen Angreifer die Benutzer zunächst dazu verleiten, Schadsoftware zu installieren. Mehrere Autoren verteilen Botnet-Malware sogar kostenlos an potenzielle Angreifer. Cyberkriminelle, die Ausfälle sowie Schäden verursachen möchten, müssen demnach keine eigene Software entwickeln können. Grundsätzlich können integrierte Entwicklungsumgebungen wie Microsoft Visual Studio 2022 Professional für die Programmierung von Schadsoftware verwendet werden.
Zu den kostenlosen Botnet-Programmen zählt unter anderem Mirai, das auf Linux-IoT-Systeme (Internet of Things) wie Router, IP-Kameras und Heimautomatisierungsprodukte abzielt. Mit der Botnet-Malware können entfernte Angreifer ein Ziel mit Datenverkehr überfluten. Dieses Botnet verursachte weit verbreitete Ausfälle, erzeugte bis zu 1 Tbit/Sekunde an Daten über das Internet und zielte auf mehrere Unternehmen ab, darunter den französische Webhoster OVH. Die ursprünglichen Programmierer wurden zwar gefasst, doch wird die Botnet-Malware unverändert genutzt.
Wer eine aktuelle Sicherheitslösung wie McAfee Total Protection 2022 oder ESET Internet Security 2022 verwendet, ist vor den aktuellsten Bedrohungen durch Malware geschützt.
Auf unterschiedlichem Wege kann Schadsoftware auf ein Gerät gelangen. Ein Benutzer kann durch gefälschte E-Mails dazu verleitet werden, Botnet-Malware auf seinem lokalen Rechner zu installieren. Manchmal nutzen die Schadprogramme allerdings auch Schwachstellen aus. Mit IoT-Malware scannen Angreifer Tausende von Geräten, um veraltete und ungepatchte Ziele zu finden. Geräte ohne automatische Patch-Mechanismen führen oftmals anfällige Firmware-Dienste aus und werden damit für Exploits empfänglich.
Nachdem genügend anfällige Geräte mit Botnet-Malware infiziert wurden, kann ein Angreifer bis zu einem beliebigen Zeitpunkt warten und schließlich die Anweisung erteilen, ein Ziel mit Datenverkehr zu überfluten. Ein Netzwerk, bestehend aus infizierten Geräten, wird oftmals auch als „Zombie-Netzwerk“ bzw. „Zombienet“ bezeichnet. Die Malware verhält sich still und setzt alles daran, nicht entdeckt zu werden. Erst nach Erhalt von Befehlen wird sie aktiv.
Botnet-Malware arbeitet oft mit einem zentralen Command-and-Control-Dashboard, über das Angreifer die Anzahl der infizierten Geräte sehen können. Hierüber können auch Befehle erteilt und zum Beispiel ein Denial-of-Service-Datenverkehr (DoS) in Richtung Zielserver gesendet werden. Der Abbruch der Kommunikation zwischen Command-and-Control-Server und infiziertem Rechner hat zur Folge, dass das Gerät nicht mehr für einen Angriff verwendet werden kann.
Wofür werden Botnetze verwendet?
Einige Angriffe werden gestartet, um dem Zombie-Netzwerk weitere Geräte hinzuzufügen, andere werden verwendet, um gezielte DDoS-Attacken durchzuführen. Solche Attacken sind geeignet, um Online-Dienste zu stören. Botnets sind für das Internet besonders gefährlich, da sie kritische Protokolldienste und beliebte Webanwendungen, die möglicherweise von Millionen von Benutzern verwendet werden, lahmlegen können.
Botnet-Software enthält oft andere Malware, die für zusätzliche, unabhängige Angriffe verwendet werden kann. Beispielsweise ist es nicht ungewöhnlich, dass Botnet-Malware auch einen Keylogger umfasst. Ein Keylogger zeichnet Tastenanschläge von der Tastatur des Benutzers auf und sendet die gestohlenen Informationen an einen vom Angreifer kontrollierten Server, wodurch der Angreifer Zugriff auf Online-Konten erhält.
DDoS ist ein häufiger Angriff, nachdem ein Cyberkrimineller ein Botnet eingerichtet hat. Der Angreifer benötigt mehrere tausend Maschinen, um ein effektives DDoS zu starten. Anbieter wie Cloudflare können verwendet werden, um DDoS-Angriffe zu stoppen, aber ein Angreifer mit Zehntausenden von Zombie-Bots auf der ganzen Welt kann immer noch extreme Leistungseinbußen verursachen.
Wie Angreifer Botnetze kontrollieren
Malware auf einem infizierten Gerät bleibt inaktiv, bis ein Angreifer Befehle sendet. Der Angreifer wird oft als Botmaster bezeichnet. Der zentrale Server, über den ein Angreifer alle Geräte kontrolliert und ihnen Nachrichten sendet, wird Command-and-Control-Center bzw. „C&C“ genannt. Die Malware kommuniziert mit dem C&C über verschiedene Protokolle, die häufig bei Firewalls aktiviert sind. Beispielsweise ist es nicht ungewöhnlich, dass Botnet-Malware über das HTTP-Protokoll kommuniziert, da die HTTP-Übertragung in Arbeits- oder Heimnetzwerken üblich ist und daher nicht von Unternehmens-Firewalls blockiert wird.
Da Botnets so effektiv sind, monetarisieren Malware-Autoren ihre Bemühungen, indem sie DDoS-as-a-Service (DDaaS) anbieten. Mehrere mit Botnet-Malware infizierte Geräte verbinden sich mit demselben zentralen C&C. Malware-Autoren bieten Abonnementpläne an, über die sich andere Personen beim C&C anmelden und ihre eigenen Befehle senden können. Malware-Autoren programmieren häufig Failover in C&C-Anwendungen. Sollte ein C&C heruntergefahren werden, ist schon ein anderer Server einsatzbereit.
Eine weitere Strategie, die häufig von Angreifern gewählt wird, folgt einem Peer-to-Peer (P2P)-Ansatz. Hierbei kann jedes infizierte Gerät auch als C&C fungieren. Der Ausfall eines Gerätes ist aus der Sicht des Cyberkriminellen unproblematisch, da jedes andere Gerät für die Entsendung von Befehlen verwendet werden kann. Aus diesem Grunde sind P2P-Botnets auch viel schwerer zu neutralisieren, was die Attraktivität des P2P-Modells für Angreifer erhöht.
Infizierte Geräte starten nach dem Empfang von Befehlen den Angriff oder führen Aktionen basierend auf den Anweisungen des Controllers aus. Unwissende User mit infizierten Geräten können beim Surfen im Internet oder auf ihrem Gerät einen sofortigen Leistungsabfall feststellen. Sobald der Angriff abgeschlossen ist, ist die Leistung wieder voll verfügbar und die Malware kehrt in den Ruhezustand zurück.
So schützen Sie sich vor Botnets
Da eine Botnet-Infektion hauptsächlich veraltete Firmware betrifft, sollten Benutzer ihre IoT-Geräte, einschließlich der im Netzwerk ausgeführten Hardware, immer patchen. Kameras, IoT in der Heimautomatisierung, Router und andere als sicher geltende Hardware sind beliebte Ziele, da sie in puncto Aktualisierung häufig übersehen werden.
Viele neuere IoT-Hardwarehersteller implementieren Verfahren zur automatischen Aktualisierung der Firmware, aber ältere Geräte sollten auf Firmware-Updates überprüft werden. Sie können nach Updates suchen, indem Sie zum Hersteller des IoT-Geräts gehen und basierend auf Ihrem Modell nach Updates suchen.
Wenn Sie glauben, dass Ihr lokaler Computer mit Botnet-Malware infiziert sein könnte, können Sie dies am besten erkennen, indem Sie den Computer mit installierter Anti-Malware-Software scannen. Aktuelle Antivirensoftware wie Bitdefender Total Security 2022 neutralisiert Malware, bevor Sie sich auf einem Rechner einnisten kann. Um Ihren Computer zu schützen, halten Sie Ihre Anti-Malware-Software immer auf dem neuesten Stand.
Aktuelle Antivirensoftware wie McAfee Total Protection 2022 finden Sie bei Softwarekaufen24 zu einem herausragenden Preis-Leistungs-Verhältnis. Schützen Sie sich noch heute vor den unterschiedlichsten Cyberbedrohungen.