Gefahr durch “Zombie-Rechner” – so schützen Sie sich vor Botnetzen
von Tina Siering
Was versteht man unter einem Bot und wie funktioniert ein Botnetz?
Bei einem Bot handelt es sich um ein Computerprogramm, welches weitestgehend sich wiederholende Aufgaben abarbeiten kann, ohne dass es (menschlicher) Kontrolle und Interaktion bedarf. Bots sind im Internet allgegenwärtig und müssen nicht zwangsläufig bösartig sein. Ein bekanntes Einsatzgebiet für Bots sind beispielsweise die Crawler der Suchmaschinen, die automatisiert das Netz durchsuchen und Webinhalte analysieren. Geleitet durch Hyperlinks gelangen diese Bots zu weiteren Inhalten und unterstützen so die Suchmaschinen bei der Indexierung von Webseiten.
Bots lassen sich aber leider auch für unzählige böswillige Aktivitäten verwenden. Die Programme können unter anderem E-Mail-Adressen auslesen und sammeln (die in der Folge für Spam oder Phishing genutzt werden), sie können Passwörter knacken, als Keylogger private Informationen mitlesen oder die Rechenleistung eines infizierten Rechners für das Mining von Kryptowährungen missbrauchen. Kommunizieren Bots untereinander, spricht man von einem Botnetz oder Botnet. Ein ausreichend großes Botnet steuert eine Vielzahl von Bots und kann bestehende Netzwerke oder Server mit so vielen Anfragen attackieren, dass diese überlastet werden oder sogar offline gehen (Distributed-DoS-Angriff, kurz DDoS).
So wird ein Botnetz aufgebaut
In einem Botnetz werden einzelne Bots zu einem komplexen, zentral gesteuerten Netzwerk zusammengefasst. Für den Aufbau eines professionellen Botnetzes sind nach Schätzungen von IT-Sicherheitsexperten mehrere Hundert Experten notwendig – von Exploit-Entwicklern über Vulnerability-Analysten bis hin zu Testern und Projektmanagern. Rekrutiert werden die “Profis” auf speziellen Plattformen, hauptsächlich im Darknet, wo die Mitarbeit anonym angeboten und ebenso anonym vergütet wird. Ist die Rekrutierungsphase beendet, beginnt die Aufbauphase. Diese kann je nach Umfang bis zu zwei Jahren dauern.
Die Botnet-Controller müssen in der Lage sein, die Malware zu steuern und Befehle zu erteilen. Die meisten Bots bieten eine Kommunikationsmöglichkeit mit dem Betreiber des Botnetzes, wobei auch Command-and-Control-Server (C&C-Server) eingesetzt werden. Dies umfasst den Abruf von Bot-Daten, sowie das Verteilen neuer Anweisungen. Ohne Server sind die Bots nutzlos
Es haben sich verschiedene Methoden entwickelt, mit denen die Bot-Rechner ihre Befehle entgegennehmen können:
1. Zentralisiert
Dieses “Basis-Modell” ist das älteste: Die Bot-Rechner melden sich in regelmäßigen Abständen bei einem zentralen Server, z. B. der mittlerweile veraltete IRC-Chatroom (oder andere Protokolle). Für Verteidiger war es relativ einfach, den zentralen C&C-Server zu finden, indem entweder Bot oder gesendeter Datenverkehr analysiert wurden. Mittlerweile existieren auch andere Steuerungsmöglichkeiten, wie z. B. P2P- oder HTTP-Botnetze.
2. Proxy-Server
Um das Auffinden des C&C-Servers zu verschleiern, werden Proxy Server eingebaut. Die einzelnen Bot-Rechner kontaktieren somit den C&C-Server nicht direkt, sondern über Zwischenrechner. Bei diesen Proxys kann es sich entweder um Server handeln, die vom Botnet-Controller betrieben werden oder um infizierte Rechner selbst.
3. Peer-to-Peer Kommunikation
Ein weiterer Schritt in der Botnet-Architektur ist die Weiterentwicklung Peer-to-Peer (P2P). Bot-Rechner kontaktieren in diesem Fall andere Bot-Rechner mit Informationen und Steuerbefehlen – und nicht den C&C-Server. Eine erfolgreiche Zerschlagung des kompletten Botnetzes ist hier sehr schwierig.
Unabhängig von der Befehls- und Kontrollstruktur gilt: Ist der Aufbau der Infrastruktur aus C&C-Server, Malware und Infektionsmöglichkeiten geschaffen, müssen die Bots erfolgreich verteilt werden. Die Infektion kann dabei entweder über einen Virus oder Wurm stattfinden oder über einen Besuch einer bösartigen Webseite, die Sicherheitslücken im Browser ausnutzt und so den Bot ohne das Wissen des Anwenders auf dem System installiert.
Die Infizierung von Opfersystemen geschieht primär über:
- Trojaner: Ein scheinbar harmloses Programm installiert im Hintergrund einen Bot, dieses ist der häufigste Fall.
- Exploits: Eine Sicherheitslücke (bspw. in Betriebssystemen) wird von den Angreifern für die Installation des Bots genutzt.
- E-Mail: Der Anwender wird in einer Mail über einen Link zur Installation von (infizierter) Software animiert. Alternativ wird der MalwareLoader als Anhang mitgesendet, wie bspw. beim kürzlich aufgedeckten Malware-Loader “Bumblebee”.
- Automatische Verbreitung über Bots: Bots gehen eigenständig auf die Suche nach weiteren, infizierbaren Systemen und platzieren über Exploits neue Bots.
- IoT: Auch smarte Endgeräte sind vor Bots nicht sicher. Hier geschieht die Infektion über Apps oder als Drive-By-Download
Nach erfolgreicher Infektion nimmt der Bot Kontakt (bspw. mit dem C&C Server) auf und meldet seine Betriebsbereitschaft. Über Kommandos wird dem Bot anschließend mitgeteilt, welche Schritte er als Nächstes ausführen soll. Werden im Laufe eines Angriffes einer oder mehrere der C&C Server aufgedeckt, kann der Bot-Controller durch spezielle Befehlssätze zeitnah reagieren und „seine“ Bots entsprechend auf andere Server umleiten. Genau das macht Botnetze so schlagkräftig und schwer zu bekämpfen. Fliegt ein Server auf, wechselt der Bot-Controller zeitnah auf einen anderen Server und die Angriffe laufen ungestört weiter.
Erschreckend hartnäckig – Bekanntes Botnetz Emotet ist wieder da
Emotet wurde bereits 2014 als Banking-Trojaner durch Sicherheitsdienste aufgedeckt und hat sich seitdem zu einer erschreckend leistungsstarken und hartnäckigen Plattform entwickelt. Im Juni 2022 zählt sie zur weltweit meistverbreiteten Schadsoftware. Im Sinne von „Crime-as-a-Service“ verkauft die Emotet-Plattform kompromittierte Zugänge an Cyberkriminelle. Sobald Emotet auf einem Opferrechner läuft, lässt sich beliebige Malware nachladen und ausführen. Das modulare Hauptprogramm Emotet wird somit zum Schleuser für Malware wie Nymaim, Qbot, TrickBot, Ursnif oder Dridex. „Das berüchtigte Emotet-Botnetz ist nach einer rund einjährigen Pause wieder auf dem Vormarsch“, berichtet Andreas Klopsch, Sicherheitsforscher der SophosLabs. „Emotet war eine der professionellsten und langlebigsten Ransomwares in der jüngsten IT-Geschichte und sorgte für zahlreiche schwere Hacks und Erpressungen.“ Emotet ist nur ein Beispiel unter vielen, das die Hartnäckigkeit von einmal aufgebauten Botnetzen eindrucksvoll darlegt. Können sich Unternehmen, Organisationen und Privatanwender überhaupt vor der Bedrohung durch Botnetze schützen?
So schützen sich Organisationen und Unternehmen vor Botnetzen
Botnetze sind effizient, bedrohlich und beängstigend – aber es gibt auch eine gute Nachricht. Denn so leistungsstark aktuelle Botnetze auch sind, gibt es für Unternehmen und Organisationen durchaus wirksame Maßnahmen für den Schutz vor Bots! Zu den wichtigsten Maßnahmen zählen:
- Achtsam sein: Jeder Anwender sollte bei Links oder Anhängen generell immer misstrauisch und vorsichtig sein. E-Mails von unbekannten Absendern sollten im Idealfall erst gar nicht geöffnet werden, sondern ungelesen in den Papierkorb wandern. Anhänge zu E-Mails sollten prinzipiell immer erst dann heruntergeladen werden, wenn Sie sich sicher sind, dass der Anhang aus einer zuverlässigen Quelle stammt.
- Antiviren-Scans: Ein seriöses Antivirenprogramm ist nach wie vor die beste Waffe gegen Bots. Regelmäßige Scans decken installierte Malware auf oder verhindern bereits deren Installation.
- Betriebssysteme und Software updaten und patchen: Cyberkriminelle sind täglich damit beschäftigt, vorhandene Sicherheitslücken in Betriebssystemen und Anwendungen zu finden und auszunutzen. Seien Sie schneller – und stopfen Sie Sicherheitslecks regelmäßig mit den neuesten Updates und Patches der Hersteller.
- Den Verlockungen des Internets widerstehen: Ein gängiger Weg, um Bots auf einen Rechner zu bekommen, führt über bösartige Webseiten oder gefälschte Downloads. Klicken Sie daher nie auf Pop-Up-Werbung, laden Sie keine Software aus unbekannten Quellen herunter und vermeiden Sie den Besuch zwielichtiger Webseiten.
- Prävention und Angreiferfrüherkennung: Setzen Sie auf eine "Managed Detection and Response-Lösung" (MDR) - auch bei der erfolgreichen Bekämpfung von Botnetzen! Mit dem Active Cyber Defense (ACD) Service von Allgeier secion steht eine Threat Hunting-Lösung bereit, die Ihr Netzwerk proaktiv und kontinuierlich auf Anomalien analysiert und so die Kommunikation der Angreifer zu ihren Command & Control Servern kontrolliert (durch die Überwachung von Beacons und die Identifizierung von bösartigen Traffic-Muster).
Fazit
Ein falscher Klick genügt und der eigene Rechner wird, völlig unbemerkt, zu einem willenlosen “Zombie”. Botnetze zählen zu den hartnäckigsten Cyberbedrohungen überhaupt – und sind leider nicht nur hartnäckig, sondern auch extrem effizient. Damit Sie sich sicher und „botfrei“ im Netz bewegen können, ist eine aktive Antivirensoftware Pflicht – genau wie das regelmäßige Updaten und Patchen des Betriebssystems und der installierten Anwendungen. Zusätzlichen Schutz erhalten Organisationen und Unternehmen durch eine “Managed Detection and Response-Lösung (MDR)”, wie dem Active Cyber Defense Service (ACD) von Allgeier secion. Die IT Security Experten des Active Cyber Defense Teams informieren, sobald Handlungsbedarf erforderlich wird: Mit Hilfe von Active Cyber Defense gelingt es, die kritische Zeitspanne zwischen dem Versagen von Protection Tools und dem Einsatz der Response zu minimieren. Denn der Warnhinweis erfolgt unmittelbar, sobald Auffälligkeiten im Netzwerk registriert werden – und nicht erst nach der riskanten durchschnittlichen Zeitspanne von 6 Monaten. Sprechen Sie uns hierzu gerne an!