Home / How-To / Sicherheit
How-To

Botnetze – Definition, Gefahren, Schutzmaßnahmen

Bots, Zombies und Cyber-Attacken – was sich liest wie das Stichwortverzeichnis eines neuen Science-Fiction-Horror-Films ist in Wirklichkeit die Beschreibung einer ganz realen Gefahr. Doch man kann sich schützen.
Götz Schartner
Von Götz Schartner
PC-WELT
Wir sind noch nicht ausreichend gegen Bots geschützt
Image: iStockphoto.com/ugurhan

Sogenannte Botnetze sorgten in den vergangenen Wochen immer wieder für besorgniserregende Schlagzeilen, zuletzt im Zusammenhang mit den massenhaften Router-Ausfällen im Netz der Telekom Ende November und mit der Zerschlagung des Avalanche-Botnetzes.

Doch was sind Botnetze überhaupt, welche Gefahren gehen von ihnen aus, wer steckt dahinter und wie kann man sich schützen?

Diese Fragen dürften sich viele Leser angesichts der zahlreichen Meldungen in allen großen Medien gestellt haben. Wir wollen versuchen, sie Ihnen zu beantworten.

Was ist ein Botnet?

Unter einem Botnet versteht man einen Zusammenschluss vernetzter Computer, die über ein verstecktes Schadprogramm, den sogenannten Bot, miteinander verbunden sind und die Rechenleistung, Netzwerkanbindung und Daten ihrer Wirte für die Hintermänner nutzbar machen.

Der eigentliche Besitzer des Computers bekommt davon in der Regel nichts mit und weiß somit auch nicht, dass sein Rechner Teil eines Botnetzes ist. Die von dem Parasiten befallenen Geräte werden als Zombies bezeichnet. Überwacht und gesteuert werden die Bots über Command-and-Control-Server, über welche die Hintermänner Befehle in das Netzwerk einspielen oder Daten einsammeln können.

Die Verbreitung der Bots, das sogenannte Spreading, kann auf ganz unterschiedlichen Wegen erfolgen und entweder nach dem Gießkannen-Prinzip oder ganz gezielt ablaufen – je nachdem, welche Ziele die Hintermänner verfolgen. Ist der Wirtscomputer einmal infiziert, wird er Teil des Netzwerks und steht damit unter der Kontrolle der Hacker.

Eine beliebte Methode sind Spam- oder Phishing-Mails an eine große Anzahl an Adressen. Dabei wird hauptsächlich Social Engineering genutzt, um die Empfänger dazu zu bringen, einen Anhang zu öffnen oder auf einen eingefügten Link zu klicken. Betreffzeilen wie „Ihre Rechnung“ oder „Zweite Mahnung“ in Kombination mit weit verbreiteten Online-Shops sind nur zwei Beispiele für die Manipulationsversuche der Kriminellen, die leider immer noch vielen Internetnutzern zum Verhängnis werden.

Bots können aber auch als Trojaner konzipiert sein und schleusen sich damit quasi huckepack mit einem anderen Programm auf den Computer. Während früher vorwiegend Software aus fragwürdigen Quellen von solchen Parasiten befallen war, sind in den letzten Jahren immer häufiger auch ganz legale Angebote betroffen, ohne dass die Betreiber der jeweiligen Webseite es mitbekommen.

Ein dritter Verbreitungsweg sind Exploits , also Sicherheitslücken in Betriebssystemen oder Anwendungen, über die Bots eingeschmuggelt werden können. Ein einfacher Besuch einer infizierten Webseite kann in diesen Fällen bereits ausreichen, um sich das Schadprogramm per Drive-By-Exploit einzufangen. Die neueren Generationen der Bots benötigen dann nicht einmal mehr eine Interaktion mit dem Nutzer, um sich im System festzusetzen, wobei man dann von einer Drive-by-Infection spricht.

Der letzte und bei weitem schwierigste Weg, neue Rechner an ein Botnetz anzuschließen, ist die manuelle Installation von einem Datenträger. Hierbei benötigt der Hacker einen direkten, körperlichen Zugang zum Gerät. Das lohnt sich nur, wenn man es auf ein ganz bestimmtes Ziel abgesehen hat – beispielsweise bei Industriespionage – oder wenn man auf diese Weise einen ganzen Server infizieren kann.

Wozu sind Botnetze gut? Die Angriffsszenarien

Wozu der ganze Aufwand, mag sich an dieser Stelle der eine oder andere Leser fragen. Warum nicht einfach ein ganz normaler Virus oder Trojaner, um an die Daten zu gelangen?

Die Attraktivität von Botnetzen liegt ganz einfach in ihren vielfältigen Einsatzmöglichkeiten begründet. Die meisten modernen Bots sind multifunktional konzipiert, das heißt je nach Einsatzbefehl können sie Daten ausspähen oder als Erpressungstrojaner fungieren. In manchen Fällen schlummern sie aber auch nach der Infektion über eine bestimmte Zeit, ohne aktiv zu werden.

Am häufigsten werden die Bots dazu eingesetzt, auf unterschiedlichen Wegen anderen Schaden zuzufügen. Wird der Bot beispielsweise als Proxy bei einer Attacke eingesetzt, lässt sich der tatsächliche Angreifer dadurch verschleiern, denn für den Zielcomputer sieht es so aus, als käme die Attacke von dem mit dem Bot infizierten Rechner.

Auch der bereits erwähnte massenhafte Versand von Spam- oder Phishing-Mails erfolgt häufig über Botnetze. Die hierfür verwendeten Bots können E-Mail-Templates verwenden und an eine riesige Anzahl von E-Mail-Adressen verschicken. Die Verteiler können zufällig generiert oder vorgegeben sein. Über diese Art des Einsatzes kann sich das Botnetz auch selbstständig vergrößern und die eigene Schadsoftware auf immer mehr Rechnern implementieren.

Es können aber auch andere Viren verbreitet werden. Zu den bekanntesten und von Unternehmen am meisten gefürchteten Angriffsarten zählen die Distributed Denial of Service (DDoS) – oder Distributed-Reflected-Denial-of-Service-(DRDoS) Angriffe. Dabei bombardiert das Botnetz Systeme, Server oder Webseiten mit der gesamten Rechnerleistung und Netzwerk-Bankbreite der angeschlossenen Geräte, bis diese unter dem Ansturm in die Knie gehen und nicht mehr erreichbar sind. Den Botnetzen, die zu diesem Zweck eingesetzt werden, stehen meist mehrere Angriffsmethoden wie SYN-Flood oder http-Request-Flood zur Verfügung. Solche Angriffe können beispielsweise im Darknet beauftragt werden, womit die Betreiber des Botnetzes Geld verdienen.

Eine weitere Methode, mit der sich die Schlagkraft eines Botnetzes in bare Münze umsetzen lässt, ist der Klickbetrug. Die infizierten Geräte erhalten den Auftrag, massenhaft Anzeigen oder bestimmte Links im Internet anzuklicken. Dabei wird ausgenutzt, dass viele Werbebanner im Internet nach Klicks vergütet werden. Auch die weit verbreiteten Affiliate-Programme lassen sich auf diese Weise missbrauchen. Für den Betreiber des Werbeportals ist diese Art des Angriffs kaum zu beweisen, denn die mit dem Klick übertragenen Metadaten wie Betriebssystem, Browser und IP-Adresse lassen sich dem infizierten Rechner, aber nicht dem Botnetz zuordnen.

In einer eher passiven Rolle befindet sich der Bot, wenn er schlicht als Speichermedium für illegale Filesharing-Angebote genutzt wird oder wenn er Rechenleistung abzweigt, um beispielsweise Bitcoin-Mining zu betreiben.

Doch nicht immer sind externe Systeme Ziel der Angriffe. Auch wenn der Bot sich nicht mit anderen verbindet, um andere anzugreifen, kann er gewaltige Schäden anrichten! So kann er beispielsweise durch das Nachladen von Sniffern und Passwort-Grabbern die privaten Daten auf den Zombie-Rechnern abgreifen und an die Hintermänner weiterleiten. Auch das Auslesen von Web-Formularen und Bankdaten ist so möglich.

Oder aber er wird als Ransomware eingesetzt. Diese Art des Angriffs hat besonders im Laufe des vergangenen Jahres stark zugenommen, da sie sehr lukrativ ist und die Opfer keine andere Chance haben, als zu zahlen, wenn sie ihre Daten behalten wollen – zumindest solange die Verschlüsselung nicht geknackt wurde.

Mirai – ein Botnetz sorgt für Aufsehen

Insbesondere ein Botnetz hat in den letzten Wochen für Ärger und Aufsehen gesorgt: Mirai, eine Linux-Schadsoftware, deren Entwickler unter dem Pseudonym „Anna-Senpai“ auftritt. Anfang November trat Mirai erstmals in Erscheinung, als das Botnetz den Internetdienstleister Dyn angriff und so dafür sorgte, dass einige der beliebtesten Webdienste wie Spotify, Amazon und Twitter nicht mehr erreichbar waren.

Ebenfalls Anfang November war Mirai dann dafür verantwortlich, dass die Menschen in Liberia vorübergehend keinen Zugriff mehr auf das Internet hatten. In den Medien wurde die Attacke als Testlauf kolportiert, um die Schlagkraft von Mirai zu prüfen.

Die größte Aufmerksamkeit in Deutschland wurde Mirai jedoch erst Ende des Monats zuteil, als eine weltweite Attacke zu massenhaften Ausfällen bei Routern der Telekom führte . Deutschlandweit funktionierten bei rund 900.000 Anschlüssen weder das Festnetz noch das Internet. Schnell vermuteten die Verantwortlichen bei der Telekom einen Hacker-Angriff hinter den Störungen, was sich nach der Auswertung von sogenannten Honeypots, also mit Analyseprogrammen präparierten und frei im Netz stehenden Systemen, bestätigte.

Die massenhaften Angriffe konzentrierten sich auf eine Schwachstelle in der Fernwartung mancher Router, die bereits Anfang November bei Geräten des irischen Internetanbieters EIR bekannt wurde. Doch damit war das Rätsel noch nicht gelöst, denn im Gegensatz zum früher beschriebenen Fall in Irland gelangte bei den Telekom-Routern keine Schadsoftware in die Systeme. Diese Schwachstelle hatten die Techniker der Telekom auch schon kurz nach ihrem Bekanntwerden überprüft und waren zu dem Schluss gekommen, dass bei den eigenen Routern kein Sicherheitsrisiko bestehe.

Die weitergehenden Untersuchungen offenbarten schließlich, dass nur die Geräte eines bestimmten Herstellers aus Taiwan von den Ausfällen betroffen waren, und es kristallisierte sich heraus, dass die Router Opfer einer ungeplanten Denial-of-Service-Attacke geworden sind. Mirai hatte laufend dutzende Aktualisierungsaufträge an die Geräte geschickt, die dann eine Verbindung zum Telekom-Server aufgebaut haben, um ein vermeintliches Update herunterzuladen. Da dort aber keine neue Software bereitlag, liefen die Anfragen der Server ins Leere.

So weit wäre das noch kein Problem gewesen. Allerdings führte ein Fehler in der Software der Router dazu, dass die bestehenden Verbindungen zum Telekom-Server nicht beendet wurden, während immer neue hinzukamen. Am Ende waren die Router dadurch so überlastet, dass sie in die Knie gingen. Deswegen führte auch der Tipp des Telekom-Kundendienstes, den Router vom Netz zu nehmen und dann neu zu starten, bei den meisten Nutzern nicht zum Erfolg – zumindest nicht solange die Mirai-Attacke lief.

Doch die Ausfälle hatten auch etwas Positives: Erst durch den Fehler fiel der globale Großangriff auf, denn wo Mirai erfolgreich war, schmuggelten sich die Bots still und heimlich auf die attackierten Geräte. Aktuell findet Mirai die größte Verbreitung im asiatischen Raum, aber auch in Brasilien und Spanien. Berichten zufolge sind derzeit etwa 500.000 Geräte im Netzwerk versammelt, wobei diese Zahl nach der letzten Attacke nochmal gestiegen sein dürfte.

Was macht Mirai so besonders?

Botnetze, die sich auf Computern und Druckern einnisten, sind bereits seit langem bekannt, doch Router und andere an das Internet angeschlossene Geräte standen bislang noch nicht im Focus der Aufmerksamkeit. Mirai macht sich genau das zunutze und konzentriert sich auf das Internet der Dinge. Das Netzwerk sucht gezielt nach Sicherheitslücken solcher vernetzter Gebrauchsgegenstände und nistet sich dann gezielt dort ein. Dabei kommt den Bots zugute, dass die Sicherheit nicht gerade weit oben auf der Prioritätenliste der Gerätehersteller steht. Doch das Internet of Things hält immer mehr Einzug in den Alltag und immer mehr smarte Geräte stehen weltweit in den Haushalten. Sie alle bieten Rechnerleistung und die Sicherheitsvorkehrungen sind minimal – lohnende Ziele für Hacker!

Die IT-Sicherheitsfirma Rapid7 untersuchte beispielsweise im vergangenen Jahr Babyphones unterschiedlicher Hersteller und offenbarte dabei bei allen Geräten gravierende Sicherheitslücken. Und nachdem Design, Funktion und einfache Bedienung für die Hersteller im Vordergrund stehen, dürfte es bei Überwachungskameras, Kühlschränken, Smart-TVs, Kaffeemaschinen oder vernetzten Heizungs- und Lichtanlagen nicht viel besser aussehen. In vielen Fällen fehlen sogar einfache Sicherheitsvorkehrungen wie ein Kennwort!

Hier besteht dringender Handlungsbedarf, denn je mehr Geräte Mirai in Zombies verwandelt, desto mehr Rechenleistung kann das Botnetz auffahren und die Angriffe werden noch massiver.

Wie kann man sich schützen?

Nachdem sowohl Angriffe als auch die Verbreitung der Botnetze in Zukunft noch weiter zunehmen dürften, wird der Schutz immer wichtiger. Betrachtet man die oben geschilderten Verbreitungswege, wird deutlich, dass entweder die Schwächen der Nutzer wie Neugierde oder Unaufmerksamkeit oder aber Sicherheitslücken in der Software ausgenutzt werden.

Um seine Geräte also davor zu bewahren, Teil eines Botnetzes zu werden, ist eine Kombination aus Awareness und technischen Vorkehrungen sinnvoll. Updates auf allen Geräten, eine Firewall und eine aktuelle Viren sind essentiell, um sich vor Schadsoftware zu schützen. Auch die Überprüfung der Systeme und des Netzwerkverkehrs sollte in regelmäßigen Abständen auf dem Programm stehen, um eine bereits erfolgte Infektion schnellstmöglich aufzudecken.

Für Unternehmen gilt darüber hinaus, dass die Mitarbeiter richtig geschult werden, um Social Engineering so schwer wie möglich zu machen – optimalerweise mit einem externen Spezialisten, auch um interne Abteilungskämpfe bei der Umsetzung zu vermeiden. Soweit die passive Seite.

Was tun, wenn man Opfer eines Angriffs durch ein Botnetz wird?

Meist werden Unternehmen oder Server Opfer dieser Angriffe. Um eine DDoS-Attacke zu unterbinden, müssen die tatsächlichen Anfragen realer Nutzer von denen des Botnetzes unterschieden werden, damit sie herausgefiltert und blockiert werden können. Das kann sowohl On-Premise oder in der Cloud passieren.

Bei der ersten Lösung wird ein entsprechender Filter direkt im Unternehmen oder beim Provider installiert. Das hat den Vorteil, dass keine Änderungen am Netzwerk nötig sind, allerdings ist es ungeeignet für Angriffe mit hohem Volumen.

Bei der zweiten Variante wird der DNS-Eintrag des Unternehmens in eine virtuelle Adresse konvertiert. Das geschieht in der Scrubbing-Abteilung des Providers. Dort wird der Traffic geprüft, die realen Anfragen über einen GRE-Tunnel weitergeleitet und die Anfragen des Botnetzes herausgefiltert. So lassen sich auch Angriffe mit großem Volumen filtern, allerdings ist diese Lösung deutlich aufwändiger, da Eingriffe in das Netzwerksystem nötig sind.

Wir sind verwundbar und müssen selber mehr für unseren Schutz tun

Der Angriff von Mirai Ende November hat gezeigt, dass wir verwundbar sind und mehr für unseren Schutz vor Cyber-Kriminellen tun müssen. Mit jedem Angriff der Botnetze werden weitere Geräte zu Zombies und die Schlagkraft für die folgenden Attacken steigt. Während wir bei Computern inzwischen ein gewisses Maß an Sicherheit und Problembewusstsein sowohl bei Nutzern als auch bei den Herstellern erreicht haben, fehlt das im Internet of Things noch an vielen Stellen.

Hier muss man jedoch auch die Hersteller in die Verantwortung nehmen, denn Sicherheitsupdates für Kühlschränke, Babyphones und Co. sind leider immer noch viel zu selten. Auch Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik, hat das Problem erkannt und ein Sicherheitsgütesiegel für Geräte des Internet of Things gefordert.

Das ist sicher ein Schritt in die richtige Richtung, doch bis es soweit ist, müssen die Nutzer selbst darauf achten, dass sie ihre Geräte schützen.

vgwort

Götz Schartner ist Gründer und Geschäftsführer der 8com GmbH & Co. KG. In seiner täglichen Arbeit erlebt er Cyberkriminalität, Sicherheitslücken und deren Auswirkungen hautnah.