Botnets und Botnet-Angriffe: Das steckt dahinter und so können Sie sich davor schützen

• Was ist ein Botnet?
• Wie wird ein Botnet erstellt?
• Welchen Schaden können Botnetze anrichten?
• Wie erkenne ich ein Botnet?
• Beispiele von großen Botnet-Angriffen weltweit
• Wie schütze ich mich vor Botnetzen?
• Das Wichtigste zum Thema Botnets in Kürze

Ein Botnet ist ein Netzwerk aus mehreren infizierten Rechnern. Cyberkriminelle setzen Botnets ein, um Spam-Mails zu verschicken, Malware zu verbreiten und/oder DDoS-Angriffe durchzuführen. Wenn von Botnet-Angriffen oder Botnet-Infektionen die Rede ist, sind dabei meist ganze Netzwerke oder sogar länderübergreifend Wide Area Networks (WANs) betroffen.

Der Schutz vor Bots und Botnetzen gehört somit zu den Basisanforderungen an die IT-Sicherheit – im privaten Bereich und bei Unternehmen. Neben den IT-Security-Expert:innen und Administrator:innen können die Anwender:innen selbst einen wichtigen Beitrag zum Schutz vor der verbreiteten Cyber-Attacke leisten, wie der Beitrag zeigt.

Das Ziel von Botnet-Angriffen ist der Aufbau von sogenannten Botnetzen, um darüber Malware auf kompromittierte Systeme zu laden und per Knopfdruck Aktionen ausführen zu lassen. Die Schadsoftware tritt normalerweise nicht direkt nach Befall des Systems in Aktion.

Stattdessen liegt sie häufig Wochen oder Monate auf den betroffenen Systemen und wartet in einem inaktiven „Schlafmodus“ auf eine Aktivierung durch die Cyberkriminellen. Der oder die für die Steuerung des Botnet Verantwortliche(n) wird/werden dabei als „Botmaster“ bezeichnet. Durch diese Verzögerung ist es oft schwierig, Infektionswege nachzuvollziehen und Täter:innen zu identifizieren.

Die Verzögerung erschwert nicht nur die Analyse des Infektionsweges, sondern bewirkt auch, dass eingespielte Backups mit älteren Daten und Betriebssystem-Zuständen häufig nicht zu einer Systembereinigung führen. Da die Schadsoftware häufig schon länger auf dem System schlummert, als es inkrementelle Backups mit Tages- und Wochenrhythmus erfassen, ist die Schadsoftware oft Bestandteil dieser Sicherheitskopien.

Zur Not bleibt dann nur ein erneutes Aufsetzen der betroffenen Systeme. Ein professionell abgesichertes Firmennetzwerk berücksichtigt diese Fälle und bewahrt Unternehmen vor unangenehmen Überraschungen. Doch wie vorgehen?

 

Was ist ein Botnet?

Im Bereich Cyberkriminalität ist ein Botnet ein Verbund mehrerer Rechner, die durch die Infektion mit einer Botnet-Schadsoftware zu „Bots” werden. Manchmal ist auch von Zombie-Rechnern die Rede, da sie weitgehend fremdgesteuert agieren und nur die Beschädigung oder Zerstörung anderer IT-Systeme zum Ziel haben.

Jeder beliebige Rechner, jeder Router oder jedes IoT-Gerät im Netzwerk kann dabei grundsätzlich durch Schadcode zu einem Bot und Bestandteil eines Botnets werden. Wesentliches Merkmal eines Botnetzes ist, dass die Verursacher:innen die betroffenen Systeme durch die eingeschleuste Software fernsteuern können.

Von einem Botnet ist immer dann die Rede, wenn mehrere miteinander vernetzte Rechner gemeinsam agieren. Alternativ wird so ein Netz auch als „Zombie-Armee” bezeichnet.

 

 

Wie wird ein Botnet erstellt?

Generell handelt es sich bei den Bots selbst um nichts anderes als klassische Netzwerkprogramme, die miteinander kommunizieren. Bei den Bots wird ebenso wie bei Netzwerkprogrammen zwischen Client-Server- und Peer-to-Peer-Anwendungen unterschieden: Beim Client-Server-Modell liegen die Steuerungslogik und Daten zentralisiert beim Server, während im P2P-Botnet jeder Bot gleichberechtigt über eigene Daten und die komplette Anwendungslogik verfügt.

Durch einen offenen Port in der Firewall, das unbedachte Öffnen eines E-Mail-Attachments oder eine nicht geschlossene Systemlücke gelingt es Cyberkriminellen, Bot-Schadcode unbemerkt einzuschleusen. Der Bot kann aus einem kleinen Shellskript (Programmcode für die Kommandozeileneingabe), einem „normalen”, ausführbaren Programm oder aus einem infizierten „Patch” (einer Art Update) bestehen.

Einmal im System, wartet der Bot auf seine Aktivierung. Diese kann beispielsweise durch einen eingestellten Timer oder ein Aktivierungssignal über das Netzwerk erfolgen. Manche Bots haben auch nur die Aufgabe, wesentlich komplexere Schadprogramme nachzuladen oder sich im Netzwerk zu verteilen.

Einige Bots sind zur Ausführung der programmierten Aufgabe auf eine Internetverbindung angewiesen. Häufig genügt es den Programmen jedoch, Verbindung zu anderen Bots über das vorhandene Netzwerk aufzunehmen. Einmal eingeschleust, agieren diese „Zombie-Armeen” auch hinter einer Firewall, ohne dass nach der Infektion noch eine Verbindung zum Internet bestehen muss.

Die das Botnet kontrollierenden Botmaster bedienen sich dabei unterschiedlicher Vorgehensweisen, Protokolle und Systeme:

 

IRC C&C

Die Abkürzung IRC bezeichnet den Begriff „Internet Relay Chat“. IRC ist ein Internet-Chat-System, das Botmaster dazu nutzen können, um Netzwerke mit Malware zu versehen und mithilfe von Command-and-Control-Servern (C&C-Server) fernzusteuern. Die Verwendung von IRC-Kanälen gehört zu den beliebtesten Methoden, um Botnetze über Command-and-Control-Server zu steuern.

Mit Steuerbefehlen lassen sich darüber beispielsweise DDoS-Attacken koordinieren, Rechner infizieren und Malware nachladen. Außerdem können die Kriminellen so Daten verschlüsseln und löschen sowie Spam-Nachrichten versenden.

 

DNS und C&C

Selbst in Minimalumgebungen wie Routern oder Bridges läuft DNS-Datenverkehr, um die Adressen interner oder externen Domänen aufzulösen. Diesen Kommunikationskanal können Command-and-Control-Server zur Steuerung von Botnetzen verwenden. Die Befehle und Daten versteckt das C&C-System dabei in regulären DNS-Abfragen, was eine Erkennung dieser Datenmanipulation erschwert.

 

Webbasierte C&C-Server

Beim webbasierten C&C nutzt der C&C-Server für den Datenverkehr den Netzwerk-Port 80, über den standardmäßig alle Web-Aktivitäten laufen. Die meisten Unternehmen und auch private Router geben den TCP-Port 80 für Datenverkehr frei. So bleiben Anfragen von Bots zu einer Webseite meist unentdeckt, was im Vergleich zu anderen Methoden wie IRC- und P2P-C&C-Lösungen deutlich unauffälliger ist.

Webbasierte C&Cs sind für Botmaster leichter zu benutzen als die anspruchsvollere IRC-C&C-Technik, bei der viel Programmieraufwand von den Cyber-Kriminellen zu leisten ist. Webbasierte C&C-Tools gibt es auf Darknet-Portalen und an anderen Stellen im Internet, wobei die Anwendung selbst keine Programmierkenntnisse erfordert.

 

P2P-Botnetze

Peer-to-Peer-Netzwerke sind durch Filesharing-Dienste bekannt geworden, über die Musik- und Videodateien weltweit verteilt wurden. Die Technik ist also nicht nur für legale Zwecke eine effiziente Möglichkeit, größere Netze dezentral zu steuern. Botmaster können darüber Botnetze ohne eine zentrale Kontrollstruktur verwalten. Dabei fungieren infizierte Systeme sowohl als Client als auch als Server, können also sowohl Befehle an die Bots versenden als auch empfangen.

Eine:n Angreifer:in in einer verteilten P2P-Netzwerklösung zu identifizieren ist nahezu unmöglich. Allerdings sorgt der ansteigende Datenverkehr dafür, dass die P2P-Netzwerke insgesamt schnell auffallen. Professionelle IT-Sicherheitslösungen für Unternehmen sorgen im Verdachtsfall durch automatisches Sperren der auffälligen IP-Adressen für wirksamen Schutz.

 

FTP-Based C&C

Das sogenannte File Transfer Protocol (FTP) war bis vor wenigen Jahren noch eines der am meisten verwendeten Protokolle, um größere Datenmengen zwischen Systemen auszutauschen. Datenübertragung via FTP läuft dabei meist über die Ports 21 für Befehle sowie Port 20 für den Datenstrom. Transparenz und Nachvollziehbarkeit der Transaktionen von FTP-Servern genügen aber nicht mehr den heutigen Sicherheitsanforderungen nach der DSGVO.

Auch die fehlende Verschlüsselungsmöglichkeit sorgte dafür, dass FTP heute kaum noch Verwendung findet und die betreffenden Ports in Firewalls nicht mehr offen sind. Mit FTP-based C&C wurden in der Vergangenheit Authentifizierungsdaten aufgezeichnet und dann auf FTP-Server hochgeladen. Eine Anpassung dieser Spoofing-Technik auf FTP-Nachfolgeprotokolle wie Secure File Transfer Protocol (SFTP) ist bislang nicht bekannt.

 

Welchen Schaden können Botnetze anrichten?

Botnetze sind in der Lage, die unterschiedlichsten Angriffe auf Unternehmensnetzwerke auszuführen. Über Botnetze aktivierte Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) können ganze Server lahmlegen. Dabei kann es zu irreparablen Schäden für Unternehmen kommen. Betroffene Unternehmenswebseiten sind dabei stunden- oder sogar tagelang nicht erreichbar.

Von den Servern abhängige Transaktionen und Geschäftsbereiche stehen still und sind blockiert. Die daraus resultierenden finanziellen Verluste und Reputationsschäden können erheblich sein. Außerdem besteht immer das Risiko, dass im Rahmen der DDoS-Angriffe Viren oder Ransomware eindringen und zusätzlicher Schaden durch Datendiebstahl oder Datenverlust entstehen.

 

Wie erkenne ich ein Botnet?

Um die Wirkungsweise von Botnetzen zu analysieren, arbeitet die IT-Security mit sogenannten Honigtöpfen (englisch: „Honeypots“). Honeypots sind Systeme, die absichtlich über Sicherheitslücken verfügen, um Schadcode kontrolliert einzufangen. Einmal isoliert, können Expert:innen so die Angriffs-, Verteilungs- und Aktionsmechanismen analysieren und Schutzmaßnahmen entwickeln. Dabei helfen professionelle Cyber-Security-Lösungen, Botnetze zu erkennen und die Sicherheit im Unternehmen zu gewährleisten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Institut für Internet-Sicherheit der Westfälischen Hochschule in Gelsenkirchen sind einige der Stellen, die ständig Botnet-Analysen betreiben. Sie veröffentlichen über eigene Sicherheits-Bulletins  aktuelle Warnungen sowie Sicherheitstipps. Die besondere Gefahr von Botnetz-Angriffen liegt in der geballten Rechenkraft und der meist zeitlich exakt abgestimmten Angriffsstrategie, was Schutzmaßnahmen erheblich erschwert.

In Deutschland sollen nach Schätzungen des BSI über 500.000 Computer (bislang) unerkannt Bestandteil von Botnetzen sein. In den meisten Fällen haben die Betroffenen nicht einmal geahnt, dass ihre Rechner oder Netzwerke kompromittiert wurden. Dazu kommt, dass die Anzeichen für eine Infizierung häufig unspezifisch sind.

Eine verlangsamte Internetverbindung oder die scheinbar grundlose Auslastung von Rechnern im Leerlauf sind Symptome, die auf Botnet-Tätigkeit hinweisen – aber auch andere Ursachen haben können. Fortgeschrittene Anwender:innen und Administrator:innen sollten sich routinemäßig die Liste der laufenden Prozesse (Tasks) ansehen und darauf achten, welche Programme automatisch gestartet werden.

Verdächtige Prozesse lassen sich durch gezielte Internetrecherche oder mithilfe von Schutzsoftware recht einfach zuordnen und gegebenenfalls als Schadsoftware identifizieren. Für deren Entfernung sollten Unternehmen eine entsprechende Security-Lösung bereithalten und nicht auf eigene Faust Änderungen an den Systemeinstellungen vornehmen.

 

Beispiele von großen Botnet-Angriffen weltweit

Von Botnets verursachte Aktionen können beispielsweise der Versand von Spam-Nachrichten, die Verschlüsselung von Datenbanken und Dateisystemen (lesen Sie hierzu auch unseren separaten Beitrag über Ransomware) und das Ausspähen von Informationen sein. Auch DDoS-Attacken gehören zum Standardrepertoire von Bots. Nicht selten sorgen infizierte Systeme dafür, dass sich die Schadsoftware im gesamten Netzwerk verteilt.

Erschwerend kommt bei Botnetz-Angriffen hinzu, dass Betroffene nicht nur selbst Opfer sind, sondern die Schadsoftware häufig auch weiter verteilen und damit unwissentlich zum oder zur Mittäter:in werden. Die nachfolgend in chronologischer Reihenfolge beschriebenen Botnet-Angriffe zählen zu den bekanntesten Cybercrime-Aktionen weltweit:

 

Mirai

Mirai ist eine auf ARC-Prozessoren bei Smart Devices ausgerichtete Malware. Einmal auf dem System, infiziert diese Schadsoftware alle im Netzwerk vorhandenen Systeme, die über ARC-Prozessoren verfügen. Diese werden gerne im Internet of Things (IoT) eingesetzt, wobei man dann von „Mirai IoT“ als Risikofaktor spricht. Das Mirai Botnet wird häufig verwendet, um DDoS-Angriffe zu starten.

 

Necurs

Necurs ist ein variabel einsetzbares Botnetz. Einmal installiert, lässt es sich durch Nachladen von Malware um neue Fähigkeiten erweitern. Necurs kommt in erster Linie über E-Mail-Anhänge auf Rechner und infiziert diese sowie damit verbundene IP-Netze.

 

Avalanche

Hinter dem Avalanche-Botnet steht nach Erkenntnissen des BSI eine international agierende Gruppe von Cyberkriminellen. Dieses Netzwerk betreibt mehrere Bot-Netze, um damit Spam- und Phishing-E-Mails sowie Schadprogramme wie Ransomware und Trojanern zu verbreiten, wobei die Cyber-Kriminellen es in erster Linie auf Bankkonten und Zugangsdaten zum Online-Banking abgesehen haben.

 

Mariposa

Mariposa (spanisch: „Schmetterling“) ist eines der größten bisher aufgedeckten Botnetze. Insgesamt soll das Botnet mehr als 13 Millionen Computer in mehr als 190 Ländern infiziert haben. Entwickelt wurde es mit einem Toolkit, was Experten als „Butterfly-Toolkit“ bezeichnen. Die Cybersecurity & Infrastructure Security Agency (CISA) in den USA hat umfangreiche Analysen zur Wirkungsweise von Mariposa durchgeführt und auf den Regierungsseiten der CISA veröffentlicht.

 

Conficker

Conficker ist der Name einer Gruppe von Computerwürmern, deren Varianten seit November 2008 mehrere Millionen Windows-Rechner weltweit infizierten. Conficker ist für das bislang größte jemals aktive Botnet verantwortlich, was vermutlich neun bis zehn Millionen Rechner kompromittierte. Der Wurm unterdrückt Sicherheits- sowie Antimalware-Updates und verwischte die Spuren des den Infektionswegs. Den Namen verdankt die Malware Microsoft-Mitarbeiter:innen, die den Wurm analysierten. Die Softwareentwickler:innen verbanden die Wörter „con“ mit einem deutschen Vulgärbegriff, was die Medien dann in den News direkt übernahmen. Neue Varianten bekommen einen Buchstaben als Namensergänzung. Dokumentiert sind die Aktivitäten von Conficker.A bis Conficker.E.

 

Gameover ZeuS

Dieses Botnetz war ein Peer-to-Peer-Botnet, welches sowohl Finanz- und Privatdaten der befallenen Computer ausspähte als auch zur Verbreitung von Spam und für Denial-of-Service-Angriffe eingesetzt wurde. Aufgebaut aus Komponenten des ZeuS-Trojaners infizierte Gameover ZeuS weltweit 500.000 bis eine Million Computer. Dabei wurden nur Rechner befallen, die Microsoft Windows als Betriebssystem nutzten. Das Botnet hatte eine dezentrale Struktur und verwendete verschlüsselte Kommunikationsverfahren zur Verschleierung. Vermutlich wurde Gameover ZeuS bei den im Oktober 2011 stattfindenden Attacken von einer Hackinggruppe aus Russland und der Ukraine kontrolliert. Der Gesamtschaden durch Erpressung und Datendiebstahl soll bei dieser Aktion über 100 Millionen US-Dollar betragen haben.

 

Krieg in der Ukraine

Eine unter dem Namen „Sandworm“ agierende russische Hackinggruppe soll mehrmals Botnetze zum Angriff auf Kommunikationseinrichtungen, Infrastrukturen und Produktionsanlagen in der Ukraine ausgeführt haben. Über die Botnet-Malware Cyclops Blink, einer Weiterentwicklung der VPNFilter-Malware, erfolgten von anderer Stelle ebenfalls diverse Botnet-Attacken. Dabei wurden tausende Netzwerkgeräte von Watch-Guard und Asus mit Malware infiziert. Mit Unterstützung der USA wurden alle Angriffe erfolgreich abgewehrt. Nachdem die US-Behörden die Kontrollserver der Gruppe lahmlegen konnten, brachte ein Firmwareupdate den erwünschten nachhaltigen Schutz. Weitere Angriffe fanden durch Botnets vom Typ Wiper statt, in deren Verlauf unterschiedliche Varianten (HermeticWiper, IsaacWiper, CaddyWiper, WhisperGate, DoubleZero, LooadEdge) zum Einsatz kamen. Ziel dieser Attacken waren in erster Linie Energieversorger und Stromnetze in der Ukraine. Zugeschrieben werden diese Angriffe der Hackinggruppe InvisiMole.

 

 

Wie schütze ich mich vor Botnetzen?

Eine aktivierte Firewall, eine aktuelle Antiviren-Schutzsoftware sowie aktualisierte Systemdateien bieten einen guten Basisschutz vor bekannten Botnet-Angriffen. Ist der direkte Weg versperrt, versuchen die Cyberkriminellen jedoch häufig, „durch die Hintertür ins Haus” zu kommen. Nach wie vor gelangen die meisten Bots über infizierte E-Mail-Anhänge auf Rechner und Netzwerke. Dabei genügt schon das Aufrufen einer vermeintlich harmlosen Word- oder Excel-Datei, um den darin enthaltenen Makrocode zu starten.

Beliebt ist bei den Botnet-Kriminellen auch die Methode, über Freeware-Spiele oder Toolkits sowie Lizenzschlüssel-Generatoren Schadcode zu hinterlegen. Toolkits und Freeware sollten Sie daher nur über geprüfte Quellen laden. Downloads von ungeprüften Seiten oder über Links in Mails sind generell nicht zu empfehlen.

Ein scheinbar harmloser Anhang wie eine Excel-Tabelle oder ein persönlich adressiertes Word-Dokument wirken wenig dramatisch. Wenn diese Dateien dann noch in einem glaubhaften Kontext mit persönlicher Anrede per E-Mail kommen, wird man sich Wochen oder gar Monate später kaum noch darin erinnern. Botnetze agieren selten sofort, und Codesequenzen neuer Schadsoftware haben gute Chancen, dem Virenscanner zu entgehen.

Auch die vermeintlich harmlose Pop-up-Werbung oder Benachrichtigung, bei deren Anklicken diskret eine ausführbare Datei abgespeichert wird, wirkt im ersten Augenblick harmlos. Manche Sicherheitslücke entsteht nur dadurch, dass Javascript im Browser nicht deaktiviert ist. Ein Abschalten ist zwar sicher, aber nur selten möglich – denn mehr als 90% der aktuellen Webseiten enthalten Javascript-Code und funktionieren nicht oder nur eingeschränkt ohne diese Funktionalität.

 

 

Das Wichtigste zum Thema Botnets in Kürze

• Ein Botnet ist ein Netzwerk aus Computern, das für die Erledigung von diversen Routineaufgaben genutzt wird.
• Legale Einsatzzwecke von Botnetzen liegen beispielsweise in der Kontrolle von Websites, der Warenbestandspflege sowie für Preisabfragen bei Online-Shops.
• Botnets von Cyberkriminellen dienen in erster Linie dazu, Spam zu versenden oder Nutzungs- und Profildaten zu kapern.
• Die „Verdienstmöglichkeiten” durch Spam oder Spoofing-Attacken sind für Cyberkriminelle verlockend.
• Maximale Sicherheit vor Botnets schafft nur aktuelle Schutzsoftware sowie ein sensibler Umgang mit Kommunikationsmitteln im Internet.
• Unternehmen sollten auf professionelle Security-Lösungen setzen, um Risiken zu minimieren und den bestmöglichen Schutz vor Schadsoftware zu bekommen.