Botnetz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Unter Botnetz versteht man Netzwerke privater oder Unternehmensrechner, die unter zentraler Kontrolle eines das Netz steuernden Servers stehen, und, in der Regel ohne Wissen ihrer Besitzer und Nutzer, zum Spam-Versand (Spamming), zur Kontrolle von Trojanern oder für Denial-of-Service-(DoS)-Attacken verwendet werden. Die Rechner in einem Botnetz, das sehr umfangreich und international sein kann, werden mit Hilfe von Trojanern infiziert und vom Kontrollserver (C&C Server) gesteuert. An einem Ende 2014 vom BKA zerschlagenen Botnetz waren 11.000 Rechner in 90 Ländern beteiligt[1]. Die Initiative des eco-Verbandes "botfrei.de" hat 2015 mehr als 175.000 Rechner gescannt und bei 38 % (2014: 40 %) eine Schadsoftware festgestellt, die den Rechner zum Bestandteil eines Botnetzes machte.[2]

Die kontrollierten Rechner werden oft dazu missbraucht, im Auftrag des Botnetz-Betreibers E-Mail-Nachrichten (zumeist Spam) zu versenden (Relaying). Die zum Spam-Versand benutzten IP-Adressen werden in der Regel sehr häufig gewechselt und meist nur kurze Zeit verwendet. Dadurch wird die Identifizierung von Absendern und damit die Filterung durch Reputations-Filter (Reputationsdienste), z.B. mit Hilfe von Blacklisten, erheblich erschwert.

Command-and-Control Server

Der Command-and-Controll Server (C&C Server) sind ein zentraler Server im Internet, der in der Lage ist, Befehle zu senden und entsprechende Antworten der Computer oder anderer vernetzten Geräte (Thingbot), die Teil eines Botnetzes sind, zu empfangen. Derjenige, der den C&C Server kontrolliert, kann beispielsweise für eine Denial-of-Service-(DoS)-Attacke spezielle Befehle an die per Malware-Infektion dem Botnetz zugefügten Rechner und Geräte übermitteln, um einen koordinierten Angriff auf ein bestimmtes Ziel durchzuführen. Man spricht dann von einem DDoS-Angriff (distributed Denial-of-Service-Angriff).


Erfolgreiche Botnetze

TDL4

Ein sehr erfolgreiches Botnetz der letzten Zeit ist das TDL4-Botnetz, auch "Super-Botnet" genannt. Die Bot-Schadsoftware hat neben Trojaner- auch Rootkit- und Wurm-Eigenschaften. So wird ein eigenes Filesystem sowie eine Antivirus-Engine installiert, vermutlich, um nicht als Seiteneffekt einer Vireninfektion mit einem weiteren Virus aufzufallen. Die Netzkommunikation zum C & C-Server erfolgt verschlüsselt über https und zusätzlich über einen weiteren Algorithmus, die IP-Adresse wird mittels Proxy-Server verschleiert und kann auch über Peer-to-Peer-Netzwerke erfolgen (hier das Kad-Netz; methodische Anleihe vom Conficker-Wurm). Damit ist dieses Botnetz quasi unzerstörbar. Zusätzlich werden Exploits als dem Stuxnet-Arsenal genutzt und auch 64-bit-Computer angegriffen. Auf Grund der Rootkit-Eigenschaft ist die Bot-Schadsoftware von normalen Virenscannern nicht zu entdecken; es braucht schon Spezialsoftware (z.B. aswMBR) und ensprechende Fachkenntnis, um die TDL4 zu beseitigen (Fixen des MBR, ähnlich wie bei einem Boot-Sektor-Virus aus längst vergangen geglaubten MS-DOS-Zeiten).


ZeuS

Das ZeuS-Botnetz ist bekannt dafür, das hauptsächlich versucht wird, das Onlinebanking des Opferrechners zu manipulieren. Es gibt unzählige Varianten des ZeuS-Bots, die mit einem Baukastensystem individuell erzeugt werden können. Hierfür sorgen u.a. auch Raubkopien der eigentlich käuflich angebotenen Software. Einfache signaturbasierte Virenscanner werden durch diese Variantenvielfalt schnell überfordert. Ansonsten ist der Softwareaufbau eher einfach, die Verankerung im Betriebssystem ist ohne große Rootkit-Funktionalitäten auch nicht besonders tief. Dies entspricht dem Hauptziel dieser Malware, der Manipulation von Bank-Transaktionen, hierfür müssen eine Vielzahl von Applikationen überwacht werden. Bei reinen 64-bit-Computer ist eine Betrugsaktion nicht ohne weiteres möglich, allerdings laufen viele Applikationen auch hier noch im 32-bit-Modus. Lokale PC-Firewalls werden mittels Back-Connect-Server-Technologie ausgehebelt. Insgesamt macht der ZeuS-Bot viel "Krach", da durch die ständigen Änderungen der Bot-Software entsprechende Einträge in der Windows-Registry notwendig werden und der Bot ständigen Kontakt mit seinen C&C-Server in Internet aufnehmen muss, so das ein Virenscanner mit Verhaltensüberwachung alarmieren sollte (auch kostenlos mittels der Software ThreatFire). Für das Deaktivieren des Bots reicht das einfache Löschen einer bestimmten Datei.


SpyEye

Als etwas billigere Konkurrenz mit fast identischen Eigenschaften zum ZeuS-Trojaner trat ab Anfang 2010 der Banken-Trojaner SpyEye in Erscheinung. Allerdings basierte SpyEye nicht auf C & C-Server, sondern beinhaltete seine Intelligenz im Programmcode und gehört damit eigentlich nicht zur Kategorie Botnetze. Erstmals versuchte diese Malware jedoch, die unliebsame ZeuS-Konkurrenz zu eliminieren, obwohl der Programmcode beider Trojaner viele Übereinstimmungen aufweist und auf ein gewisses "Abschreiben" des Entwicklers hindeutet. Zunächst war SpyEye ein käufliches Produkt, wurde aber später durch einen französischen Hacker geknackt und stand damit frei zur Verfügung.

Auf Grund der Bedrohungen des Onlinebankings durch SpyEye (wie auch ZeuS) beschleunigte sich die Anwendung der TAN-Generatoren (smartTAN, chipTAN, eTAN).


Zusammenfassung

Aktuell erfolgreiche Botnetze, wie TDL4 oder ZeuS, überwinden die Standardsicherheitsmechanismen oder machen sie zumindest unbrauchbar (Firewall des PCs, Virenscanner; siehe auch Windows-Sicherheitsstrategie). Dazu werden unterschiedliche Methoden verwendet (TDL4 verschlüsselt seine Netzkommunikation und versteckt sich unsichtbar für normale Virenscanner; ZeuS arbeitet mit einem Back-Connect-Server, besitzt einen solchen Variantenreichtum -wie auch SpyEye- und überfordert damit rein signaturbasierende Virenscanner). Um diese Bots abzuwehren, bedarf es zusätzlicher Sicherheitsmaßnahmen (Überwachung des MBR bzw. verhaltesüberwachende Software). Da dieser Aufwand aber oft nicht getrieben wird, ist der Erfolg dieser Botnetze zumindest teilweise erklärlich. Das Hauptproblem besteht also in der Erkennung eines Bot-Befalls, die Entfernung ist dagegen eher trivial (Fixen des MBR bzw. Dateilöschung).

Zwischenzeitlich gibt es auch Entdeckungs- und Entfernungshilfen aus dem Internet (DE-Cleaner).


Einzelnachweis

  1. SecuPedia Aktuell: BKA iniitiert Deaktivierung eines Botnetzes
  2. SecuPedia Aktuell: Zahl der Zombierechner weiter bedrohlich


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 16. Februar 2016 um 14:36 Uhr von Peter Hohl geändert. Basierend auf der Arbeit von Oliver Wege und Admin.

Anzeigen