Botnetze

Architektur eines Botnetzes

Ein Botnetz ist ein hierarchisch aufgebautes Rechnernetzwerk mit einem Master-Server an der Spitze. Von ihm aus werden Befehle und Anweisungen über Command&Control-Server an Bots bzw. Zombies verteilt. Das ganze System bezeichnet man als Botnetz. Es eignet sich für die unterschiedlichsten Dinge. Zum Beispiel für DoS-Angriffe gegen beliebige Ziele im Internet oder für den massenhaften Spam-Versand.
Der Botnetz-Betreiber ist in der Regel nicht der Eigentümer der Zombies oder Server. Er hat sie nur gehackt und dort seine Software platziert. Auf diese Weise bleibt er als Person oder Organisation im Hintergrund. In der Regel geht es darum die Botnetz-Infrastruktur zu vermieten. Das Geschäftsmodell dahinter könnte man als "Crime as a Service" bezeichnen. Beide Seiten, der Botnetz-Betreiber und der Botnetz-Nutzer bleiben dabei in der Anonymität verborgen.

Master-Server

Der Master-Server steht irgendwo auf der Welt. Er steuert die Command&Control-Server aus dem Hintergrund. Von hier aus werden vom Botnetz-Betreiber alle Aktionen im Botnetz ausgelöst.

Command&Control-Server

Command&Control-Server stehen irgendwo auf der Welt. Häufig sind sie auch gekaperte Rechner, die über eine gute Internet-Anbindung verfügen. Von ihnen holen sich die Bots bzw. Zombies ihre Anweisungen oder laden sich weitere Schadsoftware herunter. Command&Control-Server liefern auch Trojaner aus und kontrollieren sie.

Bots und Zombies

"Bot" ist die Abkürzung von "Robot". Die Bezeichnung "Bot" steht für einen Rechner, auf dem ein Programm ohne Einwilligung des Besitzers vollständig automatisch läuft. Manchmal bezeichnet man Bots auch als Zombies, weil sie unkontrolliert vom eigentlichen Besitzer agieren.

Bots bzw. Zombies befinden sich überall auf der Welt. Es handelt sich dabei beispielsweise um Computer auf denen ein Trojaner eingeschmuggelt wurde. Oder es handelt sich um Geräte wie Webcams, Drucker und Router, die ungesicherte im Internet erreichbar sind oder durch eine Sicherheitslücke kompromitiert und in ein Botnetz übernommen wurden. Üblicherweise sind Bots in der Lage, in weiten Teilen autonom zu arbeiten und sind optimalerweise ständig online. Ihre Anweisungen holen sich die Bots von den Command&Control-Servern oder werden von diesen mit Aufträgen versorgt.

Da das "Inventar" eines Botnetzes sehr wertvoll für den Betreiber ist, sind in vielen Bots Fallback- bzw. Backup-Maßnahmen implementiert. Das bedeutet, verliert ein Bot den Kontakt zu einem seiner fest einkodierten Command&Control-Server, beginnt er ein Notfallprogramm, bei dem er anhand eines vorgegebenen Algorithmus neue Domainnamen generiert und diese versucht, zu kontaktieren. Der Botnetz-Betreiber registriert anhand des Algorithmus die Domainnamen und sorgt für die Erreichbarkeit eines Command&Control-Servers.

Target

Der Target ist das Angriffsziel irgendwo auf der Welt. Beispielsweise für einen DDoS-Angriff. Die Gründe dafür sind vielfältig.

  • Erreichbarkeit zentrale Internet-Dienste einschränken
  • Erpressung
  • Meinungs- und Veröffentlichungsfreiheit einschränken

Botnet of unpatchable Things

Bis 2015 war es üblich, dass Bots hauptsächlich PCs, Notebooks, vielleicht auch Smartphones und Tablets waren. Diese Geräte haben für Botnetz-Betreiber den Nachteil, dass sie nicht zuverlässig erreichbar sind. Entweder weil sie zeitweise ausgeschaltet oder in wechselnden Netzen unterwegs sind. Außerdem neigen Nutzer irgendwann mal dazu ihre Systeme abzusichern, Updates einzuspielen oder das Gerät auszutauschen. Oder der Nutzer merkt, dass etwas mit seinem Gerät nicht stimmt und entfernt die Schadsoftware. In jedem Fall gehen dem Botnetz irgendwann die Bots verloren.

Anders sieht es bei autarken Geräten aus. Also Rechner, die sich in Überwachungskameras, Videorecordern, Smart-TVs, Drucker, Router usw. befinden. Die sind in der Regel immer eingeschaltet, online und ohne Aufsicht des Besitzers. Das heißt, der bekommt es nicht mit, wenn fremde Akteure die Kontrolle über seine Geräte bekommen und missbrauchen.
Eine große Gruppe gefährdeter und mengenmäßig ständig wachsender Geräte ist das Internet der Dinge (Internet of Things, IoT). Dabei wäre das gar kein Problem, wenn diese Geräte nicht an einigen strukturellen Schwachpunkten leiden würden. Beispielsweise veraltete oder fehlerhafte Implementierungen mit Sicherheitslücken, unsichere Standard-Nutzernamen und -Passwörter zum Einloggen. Das Problem dabei ist, dass sich viele Geräte nicht automatisch oder gar nicht aktualisieren lassen.
Das bedeutet, die Hersteller produzieren massenhaft unsichere Geräte und die Konsumenten hängen diese unbekümmert ins lokale Netzwerk. Zu allem Überfluss sind diese Geräte auch noch über das Internet erreichbar. Anschließend kümmert sich niemand mehr um diese Geräte. Und die Zahl der Geräte wächst ständig weiter.

Anwendungen von Botnetzen

In der Regel werden Botnetze von modernen Kriminellen verwendet, um Geld zu verdienen. Ist der Betreiber an kriminellen Machenschaften nicht interessiert, dann vermietet er sein Botnetz an andere Kriminelle.

Fast-Flux-Netz

Bot-Netze lassen sich nur dann stilllegen, wenn man den zentralen Master-Server oder die Command&Control-Server abschaltet. Um das zu erschweren arbeiten die Botnetz-Betreiber mit Arbeitsteilung und Dezentralisierung. Die Kommunikation zwischen Bots und C&C-Servern erfolgt nicht direkt, sondern über Proxy-Systeme. Das sind infizierte Webserver und andere Bots, die über zeitabhängig generierte Domain-Namen ständig ihre Adresse ändern. Davon gibt es sehr viele. Sie bekommen aus dem Hintergrund vom C&C-Server ihre Anweisungen. Sucht ein Zombie seinen C&C-Server, dann kontaktiert er eine Domain und bekommt mehrere IP-Adressen zurückgeliefert. Die geht er so lange durch, bis er einen Kontakt herstellen kann. Ist zwischenzeitlich ein Server abgeschaltet, steht bestimmt noch ein anderer zu Verfügung. So verteilt sich auch die Anzahl der Anfragen pro Server. Die IP-Adressen gehören jedoch nicht dem Botnetz-Betreiber, sondern ebenso infizierten PCs. Die DNS-Einträge ändern sich ständig. Im Prinzip sind daran mehrere hundert oder tausend Hosts beteiligt. In diesem Szenario bleibt das außer Betrieb setzen der Proxies ohne Wirkung.

Maßnahmen gegen Botnetz-Betreiber

Um dem Treiben Einhalt zu gebieten ist die Zusammenarbeit von Malware-Experten, Strafverfolgern und Providern auf internationaler Ebene erforderlich. Außerdem sind die Internetanwender in der Pflicht, zumindest die wichtigsten Sicherheitsregeln zu befolgen.

Um ein Botnetz außer Betrieb zu nehmen, müssen die Ermittler mehrere hunderttausend genutzte und auch zukünftig generierte Domain-Namen bei allen erdenklichen Registraren sperren. Außerdem müssen beteiligte Server beschlagnahmt werden, um eingehende Verbindungen zu registrieren und über die Provider die Kunden zu warnen. Solange eine signifikate Anzahl Bots online bleiben, kann auch das Botnetz wieder in Betrieb genommen werden.

Weitere verwandte Themen:

Teilen:

Produktempfehlungen

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!