Botnet-Angriffe: Das steckt dahinter und so können Sie sich davor schützen

Digitales Business

Digitales Business

Datum 17.05.2022
Lesezeit 7 Min.

Botnet-Angriffe: Das steckt dahinter und so können Sie sich davor schützen

Ein Botnet ist ein Netzwerk aus mehreren infizierten Rechnern (häufig von Endverbrauchern), die ein gemeinsames Ziel angreifen. Wenn von Botnet-Angriffen oder Botnet-Infektionen die Rede ist, sind dabei meist ganze Netzwerke oder sogar länderübergreifend WANs (Wide Area Networks) betroffen. Der Schutz vor Bots gehört somit zu den Basisanforderungen an die IT-Sicherheit – im privaten Bereich und bei Unternehmen. Neben den IT-Security-Expert:innen und Administrator:innen sind es die Anwender:innen selbst, die einen wichtigen Beitrag zum Schutz vor der Malware leisten können. Doch wie?

Das Ziel von Botnet-Angriffen ist der Aufbau von sogenannten Botnetzen, um darüber Malware auf kompromittierte Systeme zu laden und per Knopfdruck Aktionen ausführen zu lassen. Dabei ist es häufig so, dass die Schadsoftware nicht direkt nach Befall des Systems in Aktion tritt, sondern vorher schon vielleicht Wochen und Monate inaktiv auf den Systemen verharrt. Erst eine durch die Cyber-Kriminellen aktivierte, konzertierte Aktion zeigt dann offen den Befall des Systems. Durch diese Verzögerung ist es oft schwierig, Infektionswege nachzuvollziehen und Täter:innen zu identifizieren.

Außerdem hilft das im Fall der Fälle aufwändig eingespielte Backup zumeist wenig: Weil die Schadsoftware häufig schon viel länger auf dem System schlummert, als es das inkrementelle Backup mit seinem Tages- und Wochenrhythmus erfassen kann, ist die Schadsoftware oft schon Bestandteil dieser Sicherheitskopien. Zur Not bleibt dann nur ein erneutes Aufsetzen der betroffenen Systeme. Ein professionell abgesichertes Firmennetzwerk berücksichtigt diese Fälle und bewahrt Unternehmen vor unangenehmen Überraschungen. Doch wie vorgehen?

 

Was ist ein Botnet?

Ein Botnet besteht aus mehreren Rechnern, die durch die Infektion mit einer Botnet-Schadsoftware zu “Bots”, also Robotern werden. Jeder beliebige Rechner, Router oder jedes IoT-Gerät im Netzwerk kann dabei grundsätzlich durch Schadcode zu einem Bot werden. Wesentliches Merkmal eines Botnetzes ist, dass die Verursacher die betroffenen Systeme durch die eingeschleuste Software fernsteuern können. Von einem Botnet ist immer dann die Rede, wenn mehrere miteinander vernetzte Rechner gemeinsam agieren. Manchmal wird so ein Netz auch als „Zombie-Armee” bezeichnet.

 

Video: Youtube / BSI

 

Wie funktioniert ein Botnet?

Durch einen offenen Port in der Firewall, das unbedachte Öffnen eines E-Mail-Attachments oder eine nicht geschlossene Systemlücke gelingt es Cyberkriminellen, Bot-Schadcode unbemerkt einzuschleusen. Der Bot kann aus einem kleinen Shellskript (Programmcode für die Kommandozeileneingabe), einem „normalen”, ausführbaren Programm oder auch aus einem infizierten „Patch” (einer Art Update) bestehen. Einmal im System, wartet der Bot auf seine Aktivierung. Diese kann beispielsweise durch einen eingestellten Timer oder ein Aktivierungssignal über das Netzwerk erfolgen. Manche Bots haben auch nur die Aufgabe, wesentlich komplexere Schadprogramme nachzuladen oder sich im Netzwerk zu verteilen.

Einige Bots sind zur Ausführung der programmierten Aufgabe auf eine Internetverbindung angewiesen. Häufig genügt es den Programmen jedoch, Verbindung zu anderen Bots über das vorhandene Netzwerk aufzunehmen. Einmal eingeschleust, agieren diese „Zombie-Armeen” auch hinter einer Firewall, ohne dass nach der Infektion noch eine Verbindung zum Internet bestehen muss.

 

Ausklappbare Informationsgrafik

Rechner im Botnetz können sowohl Ziel des Angriffs als auch angreifender Bestandteil des Netzwerkes sein.

 

Beispiele für Botnet-Attacken

Die vom Botnet angestoßenen Aktionen können beispielsweise der Versand von Spam-Nachrichten, die Verschlüsselung von Datenbanken und Dateisystemen (lesen Sie hierzu auch unseren separaten Beitrag über Ransomware) und das Ausspähen von Informationen sein. Auch DDoS-Attacken gehören zum Standardrepertoire von Bots. Nicht selten sorgen infizierte Systeme dafür, dass sich die Schadsoftware im gesamten Netzwerk verteilt.

Erschwerend kommt bei Botnetz-Angriffen hinzu, dass Betroffene nicht nur selbst Opfer sind, sondern häufig auch die Rolle des Verteilers und damit unwissentlich einer Art Mittäter einnehmen. Dabei nutzen Bots bei der Verbreitung typische Schwachstellen, wie beispielsweise vom Hersteller gesetzte Standardpasswörter.

 

Die Methoden der Botnetze

Um die Wirkungsweise von Botnetzen zu analysieren, arbeiten IT- mit sogenannten Honigtöpfen beziehungsweise “Honeypots”. Honeypots sind Systeme, die absichtlich über Sicherheitslücken verfügen, um Schadcode kontrolliert einzufangen. Einmal isoliert, können Expert:innen so die Angriffs-, Verteilungs- und Aktionsmechanismen analysieren und Schutzmaßnahmen entwickeln. Dabei helfen professionelle Cyber-Security-Lösungen, die Sicherheit im Unternehmen zu gewährleisten.

Vodafone Cyber Security Services

Vodafone Cyber Security Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber Security-Elemente können Sie Ihre Cloud umfassend absichern: von DDoS-Mitigation über Managed Firewall bis hin zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern über die passenden Cyber Security-Lösungen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Institut für Internet-Sicherheit der Westfälischen Hochschule in Gelsenkirchen sind einige der Stellen, die ständig Botnet-Analysen betreiben. Sie veröffentlichen über die Sicherheits-Bulletins  aktuelle Warnungen sowie Sicherheitstipps. Die besondere Gefahr von Botnetz-Angriffen liegt in der geballten Rechenkraft und der meist zeitlich exakt abgestimmten Angriffsstrategie. Das erschwert Schutzmaßnahmen im Vorfeld erheblich beziehungsweise macht diese fast unmöglich.

 

Bot-Modelle unterscheiden: Client-Server vs. Peer-to-Peer (P2P)

Ohne die meist kriminelle Zielsetzung von Botnetzen handelt es sich bei den Bots selbst um nichts anderes als klassische Netzwerkprogramme, die miteinander kommunizieren. Bei den Bots wird ebenso wie bei Netzwerkprogrammen zwischen Client-Server- und Peer-to-Peer-Anwendungen unterschieden: Beim Client-Server-Modell liegen die Steuerungslogik und Daten zentralisiert beim Server, während im P2P-Botnet jeder Bot gleichberechtigt über eigene Daten und die komplette Anwendungslogik verfügt.

Auf Client-Server-Struktur basierende Botnetze  mit sogenannten „Command-and-Control-Servern” (C&C) als zentralem Steuerelement. Über den C&C-Server läuft die Kommunikation und Datenübertragung zu den einzelnen Bot-Programmen im Netzwerk. Etwas anders ist die Verbreitung und Arbeitsweise von Peer-to-Peer-Botnetzen. Diese arbeiten ähnlich dem bei Filesharing-Anbietern verbreiteten dezentralen Prinzip der verteilten Rechenleistung.

Ein weiterer bekannter Botnet-Typ arbeitet mit dem Internet Relay Chat (IRC) als Verbreitungskanal. Die niedrigen Bandbreitenanforderungen des IRC-Systems sowie die häufig zum Filesharing verwendeten IRC-Clients erleichtern die Verbreitung von Malware nach dem P2P-Prinzip. Die Gruppe der sogenannten Telnet-Bots hingegen arbeitet mit einem zentralen Server zusammen. Die Infizierung anderer Systeme erfolgt hierbei über SSH-Skripte (verschlüsselte Secure-Shell-Verbindungen).

 

Avalanche und Co: Diese Botnetze sollten Sie kennen

Hinter Botnetzen stecken meist professionell organisierte und international agierende kriminelle Netzwerke. Eine der bekanntesten Gruppen, die mit Botnetzen im großen Stil weltweit tätig war, ist unter dem Namen „Avalanche” bekannt geworden. Insgesamt schreibt das BSI zwanzig verschiedene Botnetze der Avalanche-Gruppe zu. Sie wurden allesamt zur Verbreitung von Spam- und Phishing-Mails sowie Schadsoftware und Banking-Trojanern genutzt. Die Gruppe war in über 180 Ländern aktiv und alleine in Deutschland ordnet die zuständige Staatsanwaltschaft Verden (Aller) diesem Netzwerk rund 27.000 Strafanzeigen zu. Die geschätzte Zahl der Opfer schätzen die Ermittlungsbehörden um den Faktor Zehn höher.

Ein weiteres bekanntes Botnet ist unter dem Namen Mirai bekannt geworden. Bei Mirai handelt es sich um eine Linux-Schadsoftware, welche Sicherheitslücken in Systemen und Geräten ausnutzt, die über das Internet of Things (IoT) vernetzt sind. In der aktivsten Phase dieses Netzwerkes waren 3 Millionen IoT-Geräte rund um den Globus kompromittiert. Zwischen 2016 und 2018 wurden damit unter anderem Angriffe auf Minecraft-Server durchgeführt. Eine weitere Attacke sorgte 2016 dafür, dass der DNS-Dienstanbieter Dyn seine Server abschalten musste. Dies führte zum zeitweisen Ausfall oder zur Beeinträchtigung zahlreicher Internet-Dienstleister wie Twitter, Spotify und Amazon.

Besonders pikant ist in dem Zusammenhang, dass die Mirai-Software als „Open Source” quelloffen und frei im Netz verfügbar ist. Zum einen hat das inzwischen zu sehr wirksamen Abwehrmaßnahmen geführt. Andererseits treten aber immer wieder Varianten dieser Botnet-Software in Erscheinung. Eine neuere Variante von Mirai sorgte 2017 unter der Bezeichnung „Reaper” (Deutsch: „Sensenmann”) für erhebliche Schäden, ebenfalls im IoT-Bereich. Weitere bekannte Botnetze der vergangenen Jahre sind Necurs, Mariposa und Dridex.

 

Wie erkennt man ein Botnet?

In Deutschland sollen nach Schätzungen des BSI über 500.000 Computer (bislang) unerkannt Bestandteil von Botnetzen sein. In den meisten Fällen haben die Betroffenen nicht einmal   oder vorab geahnt, dass ihre Rechner oder Netzwerke kompromittiert wurden. Dazu kommt, dass die Anzeichen für eine Infizierung häufig unspezifisch sind.

wie eine verlangsamte Internetverbindung oder die scheinbar grundlose Auslastung von Rechnern im Leerlauf sind Symptome, die auf Botnet-Tätigkeit hinweisen – aber auch andere Ursachen haben können. Fortgeschrittene Anwender:innen und Administrator:innen sollten sich routinemäßig die Liste der laufenden Prozesse (Tasks) ansehen und darauf achten, welche Programme automatisch gestartet werden. Verdächtige Prozesse lassen sich durch gezielte Internetrecherche oder mithilfe von Schutz-Software recht einfach zuordnen und gegebenenfalls als Schadsoftware identifizieren. Für deren Entfernung sollten Sie eine entsprechende Security-Lösung bereithalten und nicht auf eigene Faust Änderungen an den Systemeinstellungen vornehmen.

 

Wie kann ich mein Unternehmen vor Botnet-Infektionen schützen?

Eine aktivierte Firewall und aktuelle Antiviren-Schutzsoftware sowie aktualisierte Systemdateien bieten einen guten Basisschutz vor bekannten Botnet-Angriffen. Ist der direkte Weg versperrt, versuchen die Cyberkriminellen jedoch häufig, „durch die Hintertür ins Haus” zu kommen. Nach wie vor gelangen die meisten Bots über infizierte E-Mail-Anhänge auf Rechner und Netzwerke. Dabei genügt schon das Aufrufen einer Word- oder Excel-Datei, um den darin enthaltenen Makrocode zu starten.

Beliebt ist bei den Botnet-Kriminellen auch die Methode, über Freeware-Spiele oder Toolkits sowie Lizenzschlüssel-Generatoren Schadcode zu hinterlegen. Toolkits und Freeware sollten Sie daher nur über geprüfte Quellen laden. Downloads von ungeprüften Seiten oder über Links in Mailings sind generell nicht zu empfehlen.

 

Botnet-Angriff: Hürden beim Verhindern solcher Attacken

Ein scheinbar harmloser Anhang wie eine Excel-Tabelle oder ein persönlich adressiertes Word-Dokument wirken wenig dramatisch. Wenn diese Dateien dann noch in einem glaubhaften Kontext mit persönlicher Anrede per E-Mail kommen, wird man sich Wochen oder gar Monate später kaum noch darin erinnern. Botnetze agieren selten sofort, und Codesequenzen neuer Schadsoftware haben gute Chancen, dem Virenscanner zu entgehen.

Auch die vermeintlich harmlose Pop-up-Werbung oder Benachrichtigung, bei deren Anklicken diskret eine ausführbare Datei abgespeichert wird, wirkt im ersten Augenblick harmlos. Manche Sicherheitslücke entsteht nur dadurch, dass Javascript im Browser nicht deaktiviert ist. Ein Abschalten ist zwar sicher, aber nur selten möglich – denn mehr als 90% der aktuellen Webseiten enthalten Javascript-Code und funktionieren nicht oder nur eingeschränkt ohne diese Funktionalität.

 

Was tun, wenn der Computer bereits Teil eines Botnetzes ist?

Liegt der Verdacht vor, dass ein Arbeitsplatzrechner im Unternehmen betroffen ist, so sollten Sie umgehend die IT-Security-Beauftragten des Unternehmens beziehungsweise die IT-Administration informieren. Besteht der Verdacht, dass ein privater Rechner durch Schadsoftware kompromittiert wurde oder Bestandteil eines Botnets ist, sollten Sie den Rechner sofort. Damit ist gewährleistet, dass keine weiteren Rechner oder IoT-Geräte innerhalb des Netzwerkes infiziert werden.

Ein Scan mit aktueller Schutzsoftware kann dann im zweiten Schritt erfolgen und eventuell vorhandene Infektionen anzeigen. Die Scansoftware sollte dabei von einem sauberen   (CD, USB-Stick oder Netzwerk) aus gestartet werden, um eventuell vorhandene Schadsoftware auf dem kompromittierten System nicht vor dem Scan zu aktivieren.

 

Was tun, wenn IoT-Geräte von einem Botnet-Angriff betroffen sind?

Die IoT-Security insgesamt ist ein besonderes Thema. Anders als Windows-, Mac- oder Linux-Systeme im Anwender:innen-Umfeld lassen sich IoT-Geräte nicht einfach durch einen Scan auf Schadsoftware prüfen und bereinigen. Häufig hilft jedoch ein Zurücksetzen der Firmware, um Geräte wieder in einen sauberen Basiszustand zu versetzen. Wurde die Schadsoftware schon mit der Firmware ausgeliefert, bringt ein Firmware-Update Abhilfe.

Vodafone Cyber Security Services

Vodafone Cyber Security Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber Security-Elemente können Sie Ihre Cloud umfassend absichern: von DDoS-Mitigation über Managed Firewall bis hin zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern über die passenden Cyber Security-Lösungen.

 

Fazit und Ausblick zu Botnets

Die Verbreitung von Botnets wird mit der wachsenden Vernetzung in allen Bereichen zunehmen. Die „Verdienstmöglichkeiten” durch Spam oder Spoofing-Attacken sind für Cyberkriminelle zu verlockend, als dass diese Sparte der Softwareentwicklung den Kampf gegen ständig bessere Schutzmaßnahmen aufgeben würde. Maximale Sicherheit schaffen hier nur aktuelle Schutzsoftware sowie ein sensibler Umgang mit Kommunikationsmitteln im Internet. Unternehmen sollten auf professionelle Security-Lösungen setzen, um Risiken zu minimieren und den bestmöglichen Schutz vor Schadsoftware zu bekommen.

 

Haben Sie schon Erfahrungen beim Umgang mit Spam und Malware gesammelt? Wir freuen uns auf Ihren Kommentar.

 

 

 


Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail