Botnet

Botnet
Ablauf der Entstehung und Verwendung von Botnetzen: 1. Infizierung ungeschützter Computer, 2. Eingliederung in das Botnet, 3. Botnetbetreiber verkauft Dienste des Botnets, 4./5. Ausnutzung des Botsnets, etwa für den Versand von Spam

Ein Botnet oder Botnetz ist eine Gruppe von Software-Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. In Deutschland gibt es über 470.000 solcher Bots von denen im Durchschnitt etwa 2.000 pro Tag aktiv sind (Stand: 2010).[1] Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz-Operator (auch Bot-Master oder Bot-Herder genannt) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache als Command-and-Control-Server bezeichnet; Kurzform: C&C.

Inhaltsverzeichnis

Anwendungen

Ein Bot stellt dem Betreiber eines Botnetzes je nach Funktionsumfang verschiedene Dienste zur Verfügung. Derweil mehren sich multifunktional einsetzbare Botnets. Der Botmaster kann so flexibel auf andere Einsatzmöglichkeiten umschwenken. Grundsätzlich lassen sich die Verwendungsmöglichkeiten eines Bot-Netzwerks wie folgt unterscheiden:

  • Nachladen und Ausführen weiterer Programme beziehungsweise Aktualisierung des Bots
  • Angriffe zum Nachteil eines externen Opfersystems
    • Proxy
      Proxies bieten die Möglichkeit, eine Verbindung zu einem dritten Computer über den Zombie herzustellen und können damit die eigentliche Ursprungs-Adresse verbergen. Der so geschaffene Zwischenhost kann dann für weitere Angriffe auf andere Rechner genutzt werden. Aus Sicht des Ziel-Computers kommt der Angriff vom Proxy-Host.
    • Versand von Spam-Mails, insbesondere Phishing-Mails
      Einige Bots sind auf das Versenden von großen Mengen an E-Mail programmiert. Sie verfügen über Funktionen zum Laden von Mail-Templates, Senden von E-Mails an generierte oder von einem Server abgefragte Adressen und Abfragen von Listings der Zombie-IP in DNSBLs.
    • Ausführen von DDoS-Attacken und DRDoS-Attacken
      Viele Bots verfügen über die Möglichkeit, DoS-Attacken auszuführen. Meistens stehen dabei verschiedene Methoden wie SYN-Flood oder HTTP-Request-Flood zur Verfügung. Werden diese Attacken von allen Bots im Netz mit der gesamten, ihnen zur Verfügung stehenden, Netzwerk-Bandbreite gleichzeitig ausgeführt, so werden auf dem Ziel-Rechner der Attacke Netzwerk-Dienste außer Betrieb gesetzt oder die gesamte Bandbreite seiner Anbindung für Daten von den Zombies benötigt.
    • Ausführen von Klickbetrug
      Eine weitere Möglichkeit ein betriebsbereites Botnetz zu monetarisieren wird Klickbetrug genannt. Hierzu nutzt der Betrüger einen Account bei einem Onlinedienstleister, der seine Werbepartner für Klicks auf Werbebanner oder die Vermittlung von Besuchern vergütet. Der Betrüger nutzt die Bots dazu, die Banner anzuklicken oder die vergütete Website zu besuchen. Dies geschieht mit den rechnerspezifischen Informationen wie Betriebssystem, Browser und IP-Adresse der gekaperten Rechner und ist somit für den Werbeportalbetreiber nicht als Betrug zu erkennen.
  • Botnetz-interne Angriffe
    • Zugriff auf lokal gespeicherte Daten durch Einsatz von Sniffern und Password-Grabbern
      Die privaten Daten der mit Bots infizierten Rechnern (Zombies) sind lukrativ. Die meisten Bots bieten Möglichkeiten, auf lokal gespeicherte Zugangsdaten verschiedener Anwendungen (beispielsweise IE oder ICQ) zuzugreifen. Auf den Diebstahl von Daten spezialisierte Bots verfügen auch über Funktionen, um Daten aus Webformularen zu lesen und können dadurch Informationen ausspionieren, die in SSL-gesicherten Webseiten eingegeben wurden, darunter beispielsweise auch Passwörter oder Kreditkartennummern. Viele IRC-Bots können den Netzwerkverkehr des Rechners loggen.
    • Einsatz als Ransomware
    • Speichermedium für die Verbreitung illegalen Contents

Bot-Nets liefern eine hervorragende Infrastruktur für die herkömmliche Internetkriminalität. Dies begründet auch ihr rasantes Wachstum.

Command and Control Technologien

Die weitaus meisten Bots verfügen über eine Funktionalität, mit der der Betreiber eines Botnetzes mit ihnen kommunizieren kann. Dies umfasst den Abruf von Daten von einem Bot sowie das Verteilen von neuen Anweisungen.

IRC C&C

IRC ist zu einer populären Internet Chat Lösung in den 90er geworden. Legitime und nützliche Bots, wie zum Beispiel Eggdrop wurden entwickelt, um den User bei der IRC – und Kommunikationsverwaltung zu helfen. Es ist keine Überraschung, dass diese einfache Technik zur ersten C&C Strategie geworden ist. Bei der Kommunikation über einen IRC-Channel stellen die Bots eine Client-Verbindung zu einem IRC-Server her. Befehle werden ohne Verzögerung von den Bots ausgeführt und der Betreiber bekommt sofort eine Rückmeldung der Bots. Ein IRC C&C Server ist für einen Botherder sehr einfach zu erstellen und zu verwalten. Ist ein Computer infiziert, versucht der Zombie sich zu dem IRC Server und Channel zu verbinden. Wenn die Verbindung erfolgreich war, so kann der Botherder den Bot kontrollieren. Dies kann individuell über Private Nachrichten oder global an alle Zombies innerhalb des Channels erfolgen. Um dies effizienter zu gestalten, erstellen einige Botmaster ein „Thema“ für den Channel, das ein Kommando für die Bots darstellt, wie zum Beispiel Updates oder eine DDoS Attacke durchzuführen.

Vorteile der IRC Technologie:

  • Es ist interaktiv: Obwohl es ein relativ einfaches Protokoll ist, ist IRC interaktiv und erlaubt eine full-duplex Kommunikation zwischen Client und Server.
  • Einen IRC Server zu erstellen ist einfach. Außerdem gibt es sehr viele bestehende Server, die man, wenn notwendig, benutzen kann.
  • Es ist möglich mehrere Botnetze unter Verwendung von einem Server zu erstellen und zu kontrollieren. Funktionalitäten wie Nicknames, Chat Channels, Passwort geschützte Channels etc. ermöglichen dies.
  • Es ist einfach Redundanz aufzubauen, indem man mehrere Server miteinander verbindet.

DNS und C&C

Gefolgt von dem Einsatz von privaten Servern und Passwörter, wurden C&C Technologien immer weiter verbessert. Die erste Technologie benutzt mehrere miteinander verbundene IRC Server, die die gewöhnliche IRC Technologie verwenden. IRC ist in einer Art und Weise konzipiert, dass mehrere Server so miteinander verbunden werden können, um ein Netzwerk von Servern zu bilden. Bei der Verwendung dieser Technik, werden die Adressen aller Server in den Bot hardgecoded. Dieser versucht sich dann mit jeder dieser eingetragenen Adressen zu verbinden. Ist eine Verbindung zwischen Server und Client hergestellt, dann loggt sich der Bot in den Channel ein, in dem der Botherder Anweisungen gibt. Für Botnetzjäger wird es schwierig das gesamte Netzwerk lahm zu legen, besonders wenn immer wieder neue Server hinzugefügt werden. Sind die Adressen des C&C Servers fest in den Bot implementiert, so kann dieser den Server nicht mehr erreichen, wenn die Adressen gesperrt werden. Wie man sieht, hat diese Technologie ihre Grenzen, weshalb DNS Einträge eingeführt wurden.

DNS wird unterteilt in Domain Names und Multihoming. Der Unterschied zwischen den beiden ist, dass bei Domain Names verschiedene Domänen auf die gleiche IP – Adresse zeigen, wobei bei Multihoming eine Domäne auf mehrere unterschiedliche IP – Adressen verweist.

Die Einführung von Domain Names und Multihoming haben die Botherder dabei unterstützt die Ausfallssicherheit der C&C Server zu erhöhen.

Webbasiertes C&C

Heutzutage können Tools für ein paar hundert Dollar oder weniger gekauft werden. Diese Tools beinhalten meistens an web-basierte Sicherheitslücken individuell angepassten Schadcode, der nicht von den Antiviren Programmen erkannt wird, und eine web-basierte Command und Control Engine, die eine Backend-Datenbank zum Speichern von gestohlenen Informationen enthält. Da die Benutzeroberfläche von web-basiertem C&C sehr einfach zu bedienen ist, ist sie bei vielen Botherdern sehr beliebt.

Bots können so konfiguriert werden, dass sie wiederholt SYN Pakete zum C&C Server schicken, damit der Server die IP-Adressen der Zombies erhält. Mithilfe dieser IP-Adresse kann der Angreifer dem Client verschlüsselte Bot-Kommandos und Daten schicken.

Die Kommunikation über HTTP mit einer Webanwendung funktioniert ohne persistente Verbindung, die Bots übertragen Daten und fragen nach neuen Befehlen in Intervallen. HTTP-Botnetze erfreuen sich zunehmender Beliebtheit, da das Aufsetzen der Administrations-Infrastruktur im Vergleich zu einem IRC-Server einfacher ist und die Kommunikation der Bots weniger auffällt.

Webbasiertes C&C hat gegenüber der traditionellen IRC Lösung folgende Vorteile:

  • Im Port 80 Traffic verstecken: Fast alle Unternehmen erlauben den TCP Port 80 für normale Webaktivitäten über das Netzwerk. Die Anfragen von Bots zu einer Webseite bleiben unentdeckt. Das ist gegenüber IRC und P2P C&C Lösungen ein großer Vorteil.
  • „Pushes“ anstatt „Pulls“: Bei IRC verbinden sich die Bots mit dem Server und warten auf Instruktionen. Bei Web C&C verbindet sich der Server mit den Bots. Dies verringert den Datenverkehr zwischen dem C&C Server und dem Bot und somit die Chance einen Bot in einem Netzwerk zu erkennen.
  • Skalierbarkeit und Benutzbarkeit: Ein einzelner Webserver ist in der Lage mehrere hunderttausende bis Millionen Bots zu verwalten. Traditionelle IRC-Channel können in den meisten Fällen nur mehrere Tausende Bots verwalten, bevor diese überlastet sind. Darüber hinaus sind webbasierte C&C’s für den durchschnittlichen Botherder leichter zu benutzen, als die kompliziertere IRC C&C Technologie, die Selbstprogrammierung erfordert. Heutzutage können Botmaster Lösungen kaufen, die nicht nur eine Verwaltungsfunktion für die Bots, sondern auch ein Managementtool für die gestohlenen Daten beinhaltet.

Es gibt zwei Typen von webbasierten Botnets:

  • Echo – Based: Echo – Based bedeutet, dass der Bot dem C&C Server seine Existenz meldet.
  • Command – Based: Command Based ist ein Webservice bzw. Webapplikation die helfen soll ein Botnetz effizienter zu betreiben.

P2P Botnetze

Peer – to – Peer Netzwerke wurden durch Dienste wie Musik und File Sharing immer populärer. Innerhalb weniger Jahre, nach dem die ersten Bots entstanden waren, begannen Botherder ihre eigenen P2P Netzwerke zu erstellen, um Bots zu verwalten. Diese Technologie ist eine sehr effiziente Möglichkeit für den Botherder seine Botnetze ohne eine zentrale Kontrollstruktur zu verwalten. Die Zombies können als Client und Server fungieren, das heißt jeder Knoten kann Befehle erteilen und erhalten. Jeder einzelne Knoten des P2P Netzwerkes ist für den Botherder erreichbar, über den er dann das gesamte Netzwerk kontrollieren kann. Zum Beispiel kann der Botherder sich zu einem Zombie verbinden und diesen zu einem Update veranlassen. Dies startet eine Kettenreaktion: alle anderen Bots in dem P2P Netzwerk laden das Update ebenfalls herunter und synchronisieren sich gegenseitig entsprechend der Konfigurationsdatei, die der Hacker in die Zombies eingespielt hat. Einen Angreifer in so einer verteilten P2P Netzwerklösung zu identifizieren ist praktisch unmöglich. Andererseits kann ein einfacher Peer andere Bots finden. P2P Netzwerke sind generell leichter, anhand des Netzwerkdatenverkehrs, den die Zombies generieren, zu erkennen.

FTP – Based C&C

Wie viele andere Protokolle, wurde auch mit FTP als Control Channel experimentiert. Heutzutage ist diese Art nicht oft vorzufinden. Jedoch gibt es einen Bottyp, der regelmäßig einen FTP C&C Bericht erstattet und zwar der Phishing oder Banking Trojaner. Diese Bots, wie zum Beispiel Dumador oder Haxdoor, sind grundsätzlich Keyloggers, mit dem Unterschied, dass sie sehr viel umfangreicher sind. Sie sniffern den Datenverkehr, wenn der User auf dem kompromittierten System im Internet surft. Betritt der User eine verschlüsselte (HTTPS) Webseite, dann führen sie eine Man – in – the – middle – Attacke am Computer selbst aus. Da dieser Angriff in der Opfermaschine selbst stattfindet wird sie auch oft Man – on – the – inside Attacke genannt. Der Bot präsentiert dem User eine gefälschte Webseite. Mit dieser Technik ist es möglich Authentifizierungsdaten etc. aufzuzeichnen. Die gestohlenen Daten werden dann auf einen FTP Server hochgeladen, wo sie der Botcontroller warten kann. Botherders erstellen meist ausführliche Statistiken über die Daten, sowie ihrer Herkunft.

Die Top-10-Länder, in denen 2008 Botnet Command-and-Control-Server identifiziert werden konnten, waren:[2]
Vereinigte Staaten: 16.774, Deutschland: 3.909, China: 2.998, Russland: 2.960, Kanada: 2.388, Südkorea: 1.151, UK:1.703, Frankreich: 985, Malaysia: 857, Japan: 788.

Verbreitung der Bots (Spreading)

Das Erweitern eines Botnetzes erfolgt durch Installieren der Bots auf einem noch nicht angebundenen Computer. Um möglichst viele Ressourcen zur Verfügung zu haben, versuchen die Betreiber, eine hohe Anzahl von Rechnern unter ihre Kontrolle zu bekommen. Die Installation erfolgt meistens für den Anwender unsichtbar. Während des Betriebes eines Botnetzes kommen immer wieder neue Rechner hinzu und es scheiden solche aus, bei denen der Bot entfernt wurde.

Die Verbreitung findet auf folgenden Wegen statt:

  • Malware
    Das Installations-Programm des Bots wird per E-Mail an viele Adressen geschickt und der Empfänger wird dazu aufgefordert, das Programm auf seinem Computer auszuführen. Teilweise wird auch nur ein Link auf eine infizierte Webseite versandt.
  • Downloads
    Der Bot wird als Trojaner gebündelt mit einer Applikation, die der Anwender freiwillig herunterlädt und auf seinem Computer ausführt. Häufig handelt es sich dabei um illegale Programme wie Cracks, Warez oder andere fragwürdige Software. Immer häufiger werden jedoch auch legale Angebote gehackt und mit einem Trojaner infiziert.
  • Exploits
    Die Installation des Bots erfolgt unter Ausnutzung eines Software-Fehlers im Betriebssystem, im Browser oder in einer Anwendung auf dem Computer. Bots, die über Exploits installiert werden, verfügen häufig über eine Funktion zur automatischen Weiterverbreitung (Computerwurm). Manche Exploits benötigen die Interaktion eines Anwenders, wie z. B. das Klicken auf einen präparierten Link um den Schadcode auszuführen. Andere Exploits werden beim Aufruf der Seite automatisch ausgelöst (Drive-By-Infection). Es kommt vor, dass populäre Websites gehackt und mit Schadcode versehen werden, oder dass der Exploit über ein eingeblendetes Werbebanner von einem anderen Server geladen wird.
  • Manuelle Installation
    Der Bot wird nach einem Einbruch in einen Computer manuell auf diesem installiert. Dies kommt vor allem bei Servern zum Einsatz. Durch deren hohe Verfügbarkeit und die meist gute Netz-Anbindung lohnt es sich hier besonders gezielt nach Schwächen zu suchen.

Laut einer Studie des Antivirus-Herstellers Kaspersky Lab ist derzeit jeder zehnte PC Teil eines Botnets. Damit sind sie eine der größten illegalen Einnahmequellen im Internet.[3]

Größte Botnetze

Bekannt seit Abgeschaltet seit Name Maximale Botzahl Milliarden
Spammails
pro Tag
Weitere Namen
Mai 2009 Oktober 2010[4] BredoLab 30.000.000 [5] 3,6 Oficla
Mai 2009[6] Dezember 2009[6] Mariposa 13.000.000[7]  ?
Oktober 2008 Conficker 9.000.000[8]  ? DownUp, DownAndUp, DownAdUp, Kido
2006 März 2011[9] Rustock 1.700.000 [10] 44,1 [10] RKRustok, Costrat
Januar 2007 [11] Cutwail 1.600.000 [12] 74 [13] Pandex, Mutant, Pushdo
März 2007 Srizbi 1.300.000 [14] 60 [15] Cbeplay, Exchanger
 ? Grum 1.100.000 [11] 39,9 Tedroo
2004 Bagle 780.000 [12] 17,3 [12]
August 2009 [10] Maazben 770.000 [10] 4,8 [10]
 ? Gheg 500.000 [14] 0,44 [12] Tofsee, Mondera
 ? Kraken 400.000 [16] 9 Kracken
 ? Bobax 370.000 [10] 14,6 [12] Bobic, Oderoor, Cotmonger
Ende 2009 [17] Lethic 350.000 [17] 2 [17]
August 2009 Festi 220.000 [12] 1,4 [12]
 ? Mega-D 180.000 [11] 10 Ozdok
 ? Torpig 180.000 [18]  ? Sinowal, Anserin
Januar 2007 Storm 160.000 3 Nuwar, Peacomm, Zhelatin
 ? Donbot 125.000[19] 0,8 Buzus, Bachsoy
November 2008 Februar 2010[20] Waledac 80.000 1,5
März 2009 [10] Cimbot 48.000 [10] 1,9 [10]

Käufliche Nutzung von Botnetzen

In vielen Foren wird offen für die Umsetzung von Attacken geworben. Die Preise für 24-Stunden-Angriffe schwanken zwischen 50 und einigen Tausend Dollar.[21]

Siehe auch

Literatur

  • Ken Dunham, Jim Melnick: Malicious bots. An inside look into the cyber-criminal underground of the internet. CRC Press, Boca Raton FL u. a. 2009, ISBN 978-1-4200-6903-7 (An Auerbach Book).
  • Wenke Lee (Hrsg.): Botnet detection. Countering the largest security threat. Springer, New York u. a. 2008, ISBN 978-0-387-68766-7.
  • Craig A. Schiller, David Harley, Gadi Evron, Carsten Willems, Tony Bradley, Michael Cross, David Dagon: Botnets. The killer web app. Syngress, Rockland MA 2007, ISBN 1-59749-135-7.

Weblinks

Multimedia

Einzelnachweise

  1. Symantec Sicherheitsbericht: Cyberkriminalität ist deutscher Exportschlager. In: symantec.com. 5. April 2011, archiviert vom Original am 12. April 2011, abgerufen am 12. April 2011.
  2. Statistische Daten erhoben von Team Cymru, zitiert nach: Steve Santorelli, Levi Gundert: Safety net – Cybercriminals adapt to new security measures. In: Janes Intelligence Review. März 2009, Seite 40.
  3. Botnet – Geschäfte mit Zombies 13. Mai 2008
  4. Spion schluckt Spion. In: heise.de. Archiviert vom Original am 19. März 2011, abgerufen am 19. März 2011.
  5. Infosecurity (UK) – BredoLab downed botnet linked with Spamit.com
  6. a b Mariposa_Analysis.pdf (application/pdf-Objekt). In: defintel.com. Archiviert vom Original am 19. März 2011, abgerufen am 19. März 2011.
  7. Computerkriminalität: Spanische Polizei hebt riesiges Bot-Netzwerk aus – SPIEGEL ONLINE – Nachrichten – Netzwelt
  8. Calculating the Size of the Downadup Outbreak – F-Secure Weblog : News from the Lab
  9. Rustock-Botnetz außer Gefecht. In: heise.de. Archiviert vom Original am 19. März 2011, abgerufen am 19. März 2011.
  10. a b c d e f g h i MessageLabs Intelligence: 2010 Annual Security Report. Abgerufen am 14. Januar 2011.
  11. a b c MessageLabs Intelligence: August 2010 Report. Abgerufen am 14. Januar 2011.
  12. a b c d e f g MessageLabs Intelligence: 2009 Annual Security Report. Abgerufen am 14. Januar 2011.
  13. Pushdo Botnet – New DDOS attacks on major web sites – Harry Waldron – Computer Security News
  14. a b MessageLabs Intelligence: 2008 Annual Security Report. Abgerufen am 14. Januar 2011.
  15. BBC NEWS | Technology | Spam on rise after brief reprieve
  16. http://www.darkreading.com/security/perimeter-security/211201307/index.html
  17. a b c http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf
  18. Researchers hijack control of Torpig botnet – SC Magazine US
  19. Spam Botnets to Watch in 2009 – Research – SecureWorks. In: secureworks.com. Archiviert vom Original am 21. März 2011, abgerufen am 21. März 2011.
  20. Ein Botnetz geht, der Spam bleibt. In: heise.de. Archiviert vom Original am 21. März 2011, abgerufen am 21. März 2011.
  21. Schattenwirtschaft Botnetze – ein Millionengeschäft für Cyberkriminelle Viruslist.com vom 22. Juli 2009

Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Botnet — is a jargon term for a collection of software robots, or bots, that run autonomously and automatically. The term is often associated with malicious software but it can also refer to the network of computers using distributed computing… …   Wikipedia

  • Botnet — es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota… …   Wikipedia Español

  • Botnet — es un término que hace referencia a una colección de software robots, o bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la… …   Enciclopedia Universal

  • Botnet — Un botnet est un ensemble de bots informatiques qui sont reliés entre eux. Historiquement, ce terme s est d abord confondu avec des robots IRC (bien que le terme ne se limitait pas à cet usage spécifique), qui était un type de botnet particulier… …   Wikipédia en Français

  • botnet — /ˈbɒtnɛt/ (say botnet) noun a collection of zombie PCs infected with software specifically designed to create a network, as for a spam attack. Also, bot net. {bot3 + net(work)} …  

  • Botnet Srizbi — Le botnet Srizbi, aussi connu sous les noms de Cbepblay et Exchanger, est réputé être le plus grand ou le deuxième plus grand botnet et est responsable de la transmission de la moitié du spam qui transite par l ensemble des botnets… …   Wikipédia en Français

  • Botnet Storm — Demande de traduction Storm botnet → …   Wikipédia en Français

  • Botnet Mariposa — Mariposa, qui signifie papillon en espagnol, est un des plus imposant botnet mis au jour en début d année 2010. Selon les enquêteurs, 13 millions de machines zombies seraient infectées et donc contrôlées à des fins malveillantes[1]. Ce botnet se… …   Wikipédia en Français

  • Botnet — …   Википедия

  • botnet — noun /ˈbɒtnɛt/ A collection of zombies that are controlled by the same cracker; a collection of compromised computers that is slowly built up then unleashed as a DDOS attack or used to send very large quantities of spam. Then they blacklisted… …   Wiktionary

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”