238061

So machen Hacker Ihren PC zum ferngesteuerten Bot

02.10.2009 | 12:15 Uhr | Benjamin Schischka

Hacker missbrauchen Ihren PC gerne als ferngesteuerten Bot.
Vergrößern Hacker missbrauchen Ihren PC gerne als ferngesteuerten Bot.
© 2014

Durch Exploits gelingt es den Betrügern ihre Trojaner und Würmer auf den Rechnern ihrer Opfer zu installieren. Exploits sind Schwachstellen im Betriebssystem oder aber in einem der bereits auf dem Rechner installierten Programme, die sich ausnutzen lassen. Damit aber nicht sofort die Antiviren-Software anspringt, werden die Trojaner mit sogenannten Cryptern verschlüsselt, um ihren Code zu verschleiern. Meist bieten Crypter-Programmierer ihre Dienste auf Boards an. Diese auch als "Fully UnDetectable" (FUD)-Server beworbenen, einzigartigen Versionen können dann für eine gewisse Zeit von keinem Virenscanner gefunden werden.

Ähnlich verhält es sich mit Bots: Bots sind kleine Programme, die meist unbemerkt im Hintergrund auf den Rechnern der Opfer laufen und dort je nach Funktionsumfang diverse Dinge erledigen - von DDoS-Attacken über E-Mail-Spam bis zum Mitlesen von Tastatureingaben. Bots mit einem sehr großen Umfang sind naturgemäß teurer als einfache Bots, die nur wenig können. Zur Verwaltung des Botnetzes werden sogenannte Command-and-Control-Server (C&C Server) genutzt. Die auf den Computern seiner Opfer installierten Bots verbinden sich selbständig zu diesem Kontroll-Server und warten auf Befehle ihres Meisters. Für diese C&C-Server gibt es verschiedene Konzepte: Manche Bots melden sich im IRC an und treten dort einem speziellen Channel bei. Aus Sicherheitsgründen werden hierfür fast immer private IRC-Server genutzt, zu denen sonst niemand Zugang hat. Eine häufig genutzte Möglichkeit ist die Verwaltung über ein Webinterface. Nach Eingabe des Nutzernamens und Passworts gelangt man hier direkt zur Verwaltung. In diesem Webinterface stehen je nach Funktionsumfang des Bots diverse Möglichkeiten zur Verfügung. Außerdem sind darüber auch Statistiken, wie viele Bots gerade online sind, wie viele insgesamt infiziert wurden oder auch, um was für Betriebssysteme es sich handelt, erhältlich.

Hat sich ein Trojaner erst einmal auf dem Rechner des Opfers eingerichtet, so lädt dieser meist einen Bot aus dem Internet nach, der dann von dem Betrüger dort hinterlegt wird. Gerne werden als Download-Quellen die Dienste der Bulletproof-Hoster in Anspruch genommen. Will ein Betrüger ein aktuelles Botnetz haben, so wendet er sich an einen der Programmierer, um sich dort eine Version zu kaufen. Oft werden die Bots als Binary und als Source Code angeboten, wobei die Preise für den Source Code um das 5-10-fache höher liegen. Dafür bietet sich dem Käufer die Möglichkeit zu prüfen, ob die eigene Version eine Hintertür hat oder nicht. Für jemanden, der kein Programmierer, ist dies allerdings kaum möglich. Oft wird auch mit so genannten RATs (Remote Administration Tools) gearbeitet. Dies hat für den Betrüger den großen Vorteil, dass er in der Lage ist, eine Verbindung zu den Rechnern seiner Opfer herzustellen. Dort kann er prüfen, ob er wirklich einen Nutzer erwischt hat oder ob er in einem Honeypot - das sind Fallen der Anti-Viren-Hersteller - gelandet ist. Ist das der Fall, würde die gegenwärtige Version seines Bots bald von allen aktuellen Virenscannern erkannt werden. Dann müsste er den Bot neu crypten lassen und alle Installationen updaten, bevor gegebenenfalls installierte Scanner anschlagen und das System reinigen.

PC-WELT Marktplatz

238061