Generell handelt es sich bei den Bots selbst um nichts anderes als klassische Netzwerkprogramme, die miteinander kommunizieren. Bei den Bots wird ebenso wie bei Netzwerkprogrammen zwischen Client-Server- und Peer-to-Peer-Anwendungen unterschieden: Beim Client-Server-Modell liegen die Steuerungslogik und Daten zentralisiert beim Server, während im P2P-Botnet jeder Bot gleichberechtigt über eigene Daten und die komplette Anwendungslogik verfügt.
Durch einen offenen Port in der Firewall, das unbedachte Öffnen eines E-Mail-Attachments oder eine nicht geschlossene Systemlücke gelingt es Cyberkriminellen, Bot-Schadcode unbemerkt einzuschleusen. Der Bot kann aus einem kleinen Shellskript (Programmcode für die Kommandozeileneingabe), einem „normalen”, ausführbaren Programm oder aus einem infizierten „Patch” (einer Art Update) bestehen.
Einmal im System, wartet der Bot auf seine Aktivierung. Diese kann beispielsweise durch einen eingestellten Timer oder ein Aktivierungssignal über das Netzwerk erfolgen. Manche Bots haben auch nur die Aufgabe, wesentlich komplexere Schadprogramme nachzuladen oder sich im Netzwerk zu verteilen.
Einige Bots sind zur Ausführung der programmierten Aufgabe auf eine Internetverbindung angewiesen. Häufig genügt es den Programmen jedoch, Verbindung zu anderen Bots über das vorhandene Netzwerk aufzunehmen. Einmal eingeschleust, agieren diese „Zombie-Armeen” auch hinter einer Firewall, ohne dass nach der Infektion noch eine Verbindung zum Internet bestehen muss.
Die das Botnet kontrollierenden Botmaster bedienen sich dabei unterschiedlicher Vorgehensweisen, Protokolle und Systeme:
IRC C&C
Die Abkürzung IRC bezeichnet den Begriff „Internet Relay Chat“. IRC ist ein Internet-Chat-System, das Botmaster dazu nutzen können, um Netzwerke mit Malware zu versehen und mithilfe von Command-and-Control-Servern (C&C-Server) fernzusteuern. Die Verwendung von IRC-Kanälen gehört zu den beliebtesten Methoden, um Botnetze über Command-and-Control-Server zu steuern.
Mit Steuerbefehlen lassen sich darüber beispielsweise DDoS-Attacken koordinieren, Rechner infizieren und Malware nachladen. Außerdem können die Kriminellen so Daten verschlüsseln und löschen sowie Spam-Nachrichten versenden.
DNS und C&C
Selbst in Minimalumgebungen wie Routern oder Bridges läuft DNS-Datenverkehr, um die Adressen interner oder externen Domänen aufzulösen. Diesen Kommunikationskanal können Command-and-Control-Server zur Steuerung von Botnetzen verwenden. Die Befehle und Daten versteckt das C&C-System dabei in regulären DNS-Abfragen, was eine Erkennung dieser Datenmanipulation erschwert.
Webbasierte C&C-Server
Beim webbasierten C&C nutzt der C&C-Server für den Datenverkehr den Netzwerk-Port 80, über den standardmäßig alle Web-Aktivitäten laufen. Die meisten Unternehmen und auch private Router geben den TCP-Port 80 für Datenverkehr frei. So bleiben Anfragen von Bots zu einer Webseite meist unentdeckt, was im Vergleich zu anderen Methoden wie IRC- und P2P-C&C-Lösungen deutlich unauffälliger ist.
Webbasierte C&Cs sind für Botmaster leichter zu benutzen als die anspruchsvollere IRC-C&C-Technik, bei der viel Programmieraufwand von den Cyber-Kriminellen zu leisten ist. Webbasierte C&C-Tools gibt es auf Darknet-Portalen und an anderen Stellen im Internet, wobei die Anwendung selbst keine Programmierkenntnisse erfordert.
P2P-Botnetze
Peer-to-Peer-Netzwerke sind durch Filesharing-Dienste bekannt geworden, über die Musik- und Videodateien weltweit verteilt wurden. Die Technik ist also nicht nur für legale Zwecke eine effiziente Möglichkeit, größere Netze dezentral zu steuern. Botmaster können darüber Botnetze ohne eine zentrale Kontrollstruktur verwalten. Dabei fungieren infizierte Systeme sowohl als Client als auch als Server, können also sowohl Befehle an die Bots versenden als auch empfangen.
Eine:n Angreifer:in in einer verteilten P2P-Netzwerklösung zu identifizieren ist nahezu unmöglich. Allerdings sorgt der ansteigende Datenverkehr dafür, dass die P2P-Netzwerke insgesamt schnell auffallen. Professionelle IT-Sicherheitslösungen für Unternehmen sorgen im Verdachtsfall durch automatisches Sperren der auffälligen IP-Adressen für wirksamen Schutz. FTP-Based C&C
Das sogenannte File Transfer Protocol (FTP) war bis vor wenigen Jahren noch eines der am meisten verwendeten Protokolle, um größere Datenmengen zwischen Systemen auszutauschen. Datenübertragung via FTP läuft dabei meist über die Ports 21 für Befehle sowie Port 20 für den Datenstrom. Transparenz und Nachvollziehbarkeit der Transaktionen von FTP-Servern genügen aber nicht mehr den heutigen Sicherheitsanforderungen nach der DSGVO.
Auch die fehlende Verschlüsselungsmöglichkeit sorgte dafür, dass FTP heute kaum noch Verwendung findet und die betreffenden Ports in Firewalls nicht mehr offen sind. Mit FTP-based C&C wurden in der Vergangenheit Authentifizierungsdaten aufgezeichnet und dann auf FTP-Server hochgeladen. Eine Anpassung dieser Spoofing-Technik auf FTP-Nachfolgeprotokolle wie Secure File Transfer Protocol (SFTP) ist bislang nicht bekannt.