Botnets
Ablauf der Entstehung und Verwendung von Botnetzen

Ein Botnet oder Botnetz ist eine Gruppe von Software-Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz-Operator (auch Botmaster) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache zutreffend als Command-and-Control-Server bezeichnet; Kurzform: C&C.

Inhaltsverzeichnis

Anwendungen

Ein Bot stellt dem Betreiber eines Botnetzes je nach Funktionsumfang verschiedene Dienste zur Verfügung. Derweil mehren sich multifunktional einsetzbare Botnets. Der Botmaster kann so flexibel auf andere Einsatzmöglichkeiten umschwenken. Grundsätzlich lassen sich die Verwendungsmöglichkeiten eines Bot-Netzwerks wie folgt unterscheiden: Angriffe zum Nachteil eines externen Opfersystems und Botnetz-interne Angriffe. Zum Erstbenannten zählen unter anderem DDoS-Attacken und DRDoS-Attacken. Da der Botnetz-Master in aller Regel auf die sensiblen Daten seiner Bot-infizierten Systeme zugreifen kann, offerieren sich viele der bekannten Phänomene der Internetkriminalität wie Phishing, Sniffer oder Ransomware und auch der Versand von Spam-Mails. Hieraus wird bereits ersichtlich, dass Bot-Netzwerke eine hervorragende Infrastruktur für die herkömmliche Internetkriminalität liefern. Dies begründet auch ihr rasantes Wachstum.

  • Zugriff auf lokal gespeicherte Daten.
    Die privaten Daten der mit Bots infizierten Rechnern (Zombies) sind lukrativ. Die meisten Bots bieten Möglichkeiten, auf lokal gespeicherte Zugangsdaten verschiedener Anwendung (beispielsweise IE oder ICQ) zuzugreifen. Auf den Diebstahl von Daten spezialisierte Bots verfügen auch über Funktionen, um Daten aus Webformularen zu lesen und können dadurch Informationen ausspionieren, die in SSL-gesicherten Webseiten eingegeben wurden, darunter beispielsweise auch Passwörter oder Kreditkartennummern. Viele IRC-Bots können den Netzwerkverkehr des Rechners loggen.
  • Proxy
    Proxies bieten die Möglichkeit, eine Verbindung zu einem dritten Computer über den Zombie herzustellen und können damit die eigentliche Ursprungs-Adresse verbergen. Aus Sicht des Ziel-Computers kommt die Verbindung vom Proxy-Host.
  • Spam-Versand
    Einige Bots sind auf das Versenden von großen Mengen an E-Mail programmiert. Sie verfügen über Funktionen zum Laden von Mail-Templates, Senden von E-Mails an generierte oder von einem Server abgefragte Adressen und Abfragen von Listings der Zombie-IP in DNSBLs.
  • Ausführen von DDoS-Attacken
    Viele Bots verfügen über die Möglichkeit, DoS-Attacken auszuführen. Meistens stehen dabei verschiedene Methoden wie SYN-Flood oder HTTP-Request-Flood. Werden diese Attacken von allen Bots im Netz mit der gesamten, ihnen zur Verfügung stehenden, Netzwerk-Bandbreite gleichzeitig ausgeführt, so werden auf dem Ziel-Rechner der Attacke Netzwerk-Dienste außer Betrieb gesetzt oder die gesamte Bandbreite seiner Anbindung für Daten von den Zombies benötigt.
  • Nachladen und Ausführen weiterer Programme beziehungsweise Aktualisierung des Bots
  • Einsatz als Ransomware
  • Verbreitung von Phishing-Mails
  • Einsatz von Sniffern und Password-Grabbern
  • Zwischenhost für die Verschleierung weiterer manueller Angriffe auf andere Rechner
  • Speichermedium für die Verbreitung illegalen Contents
  • und vieles weitere

Administration

Die weitaus meisten Bots verfügen über eine Funktionalität, mit der der Betreiber eines Botnetzes mit ihnen kommunizieren kann. Dies umfasst den Abruf von Daten von einem Bot sowie das Verteilen von neuen Anweisungen. Bei der Kommunikation über einen IRC-Channel stellen die Bots eine Client-Verbindung zu einem IRC-Server her. Befehle werden ohne Verzögerung von den Bots ausgeführt und der Betreiber bekommt sofort eine Rückmeldung der Bots. Im Vergleich dazu erfolgt die Kommunikation über HTTP mit einer Webanwendung ohne persistente Verbindung, die Bots übertragen Daten und fragen nach neuen Befehlen in Intervallen. HTTP-Botnetze erfreuen sich zunehmender Beliebtheit, da das Aufsetzen der Administrations-Infrastruktur einfacher ist im Vergleich zu einem IRC-Server und die Kommunikation der Bots mit dieser weniger auffällt. Weitere genutzte Kommunikationsmethoden sind Peer-to-Peer-Protokolle sowie durch die Programmierer selbst entwickelte Netzwerkprotokolle.

Die Top-10-Länder, in denen 2008 Botnet Command-and-Control-Server identifiziert werden konnten, waren:[1]
Vereinigte Staaten: 16774, Deutschland: 3909, China: 2998, Russland: 2960, Kanada: 2388, Südkorea: 1151, UK:1703, Frankreich: 985, Malaysia: 857, Japan: 788.

Verbreitung der Bots (Spreading)

Das Erweitern eines Botnetzes erfolgt durch Installieren der Bots auf einem noch nicht angebundenen Computer. Um möglichst viele Ressourcen zur Verfügung zu haben, versuchen die Betreiber, eine hohe Anzahl von Rechnern unter ihre Kontrolle zu bekommen. Die Installation erfolgt meistens für den Anwender unsichtbar. Während des Betriebes eines Botnetzes kommen immer wieder neue Rechner hinzu und es scheiden solche aus, bei denen der Bot entfernt wurde.

  • Spam
    Das Installations-Programm des Bots wird per E-Mail an viele Adressen geschickt und der Empfänger wird dazu aufgefordert, das Programm auf seinem Computer auszuführen.
  • Downloads
    Der Bot wird gebündelt mit einer Applikation, die der Anwender freiwillig herunterlädt und auf seinem Computer ausführt. Häufig handelt es sich dabei um Programme wie Cracks oder andere fragwürdige Software. Andererseits kann es sich auch um einen Trojaner handeln, also um ein Programm, das eine Eigenschaft vorspiegelt, die es entweder gar nicht hat, oder die nur Beiwerk der eigentlichen (dem Benutzer unbekannten) Funktion ist.
  • Exploits
    Die Installation des Bots erfolgt unter Ausnutzung eines Software-Fehlers im Betriebssystem oder in einer Anwendung auf dem Computer. Bots, die über Exploits installiert werden, verfügen häufig über eine Funktion zur automatischen Weiterverbreitung (Computerwurm). Manche Exploits benötigen die Interaktion eines Anwenders, wie z. B. die Installation des Bots durch Schadcode in einer besuchten Webseite (Drive-By-Infection). Es kommt vor, dass populäre Websites gecrackt und mit Schadcode versehen werden, oder dass der Exploit über ein eingeblendetes Werbebanner von einem anderen Server geladen wird.
  • Manuelle Installation
    Der Bot wird nach einem Einbruch in einen Computer manuell auf diesem installiert.

Laut einer Studie des Antivirus-Herstellers Kaspersky Lab ist derzeit jeder zehnte PC Teil eines Botnets. Damit sind sie eine der größten illegalen Einnahmequellen im Internet.[2]

Bekannte Botnetze [3]

Bekannt seit Name Geschätze Botzahl Anzahl der Spammails Weitere Namen
Oktober 2008 Conficker 9.000.000[4]  ? [5] DownUp, DownAndUp, DownAdUp, Kido
 ? Kraken 495.000 9 Milliarden/Tag Kracken
31. März 2007 Srizbi 450.000[6] 60 Milliarden/Tag Cbeplay, Exchanger
 ? Bobax 185.000 9 Milliarden/Tag Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
 ? Rustock 150.000 30 Milliarden/Tag RKRustok, Costrat
 ? Cutwail 125.000 16 Milliarden/Tag Pandex, Mutant (siehe auch: Wigon, Pushdo)
Januar 2007 Storm 85.000 (nur 35.000 versenden Mails) 3 Milliarden/Tag Nuwar, Peacomm, Zhelatin
 ? Grum 50.000 2 Milliarden/Tag Tedroo
 ? Onewordsub 40.000  ?  ?
 ? Mega-D 35.000 10 Milliarden/Tag Ozdok
 ? Nucrypt 20.000 5 Milliarden/Tag Loosky, Locksky
 ? Wopla 20.000 600 Millionen/Tag Pokier, Slogger
 ? Spamthru 12.000 350 Millionen/Tag Spam-DComServ, Covesmer, Xmiler

Das bislang größte, im April 2009 entdeckte Botnetz soll von einer kriminellen Bande betrieben werden, die nur aus sechs Personen besteht. 1,9 Millionen PCs sollen dem Sicherheitsunternehmen Finjan zufolge infiziert sein, darunter auch solche in Unternehmen, Behörden und öffentlichen Einrichtungen. Auf das Botnetz will Finjan durch einen in der Ukraine lokalisierten Command&Control-Server gestoßen sein, bei dem der Zugriff auf einige Verzeichnisse möglich war, da er unzureichend gesichert gewesen sei. Die gekaperten Windows-PCs sollen auf 77 Länder verteilt sein; rund die Hälfte soll in den USA und im Vereinigten Königreich stehen. Lediglich 4 Prozent sind in Deutschland in Betrieb, hieß es.[7]

Siehe auch

Einzelnachweise

  1. Statistische Daten erhoben von Team Cymru, zitiert nach: Steve Santorelli, Levi Gundert: Safety net – Cybercriminals adapt to new security measures. In: Janes Intelligence Review. März 2009, Seite 40.
  2. Botnet – Geschäfte mit Zombies 13.05.2008
  3. Bekannte Botnetze auf secureworks.com (englisch)
  4. http://www.f-secure.com/weblog/archives/00001584.html
  5. http://www.marshal.com/trace/spam_statistics.asp
  6. http://news.bbc.co.uk/2/hi/technology/7749835.stm
  7. Botnetz mit 1,9 Millionen infizierten PCs gesichtet (Heise Security, 22. April 2009)

Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Botnets — Botnet Un botnet est un ensemble de robots IRC qui sont reliés entre eux. Être connectés en réseau leur permet de se donner mutuellement le statut d opérateur de canal de manière sécurisée, de contrôler de manière efficace les attaques par flood… …   Wikipédia en Français

  • Botnet — Un botnet est un ensemble de bots informatiques qui sont reliés entre eux. Historiquement, ce terme s est d abord confondu avec des robots IRC (bien que le terme ne se limitait pas à cet usage spécifique), qui était un type de botnet particulier… …   Wikipédia en Français

  • Botnet — is a jargon term for a collection of software robots, or bots, that run autonomously and automatically. The term is often associated with malicious software but it can also refer to the network of computers using distributed computing… …   Wikipedia

  • Botnet — Ablauf der Entstehung und Verwendung von Botnetzen: 1. Infizierung ungeschützter Computer, 2. Eingliederung in das Botnet, 3. Botnetbetreiber verkauft Dienste des Botnets, 4./5. Ausnutzung des Botsnets, etwa für den Versand von Spam Ein Botnet… …   Deutsch Wikipedia

  • Storm botnet — The typical lifecycle of spam that originates from a botnet: (1) Spammer s web site (2) Spammer (3) Spamware (4) Infected computers (5) Virus or trojan (6) Mail servers (7) Users (8) Web traffic The Storm… …   Wikipedia

  • Botnet — es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota… …   Wikipedia Español

  • Donbot botnet — Donbot, also known by its aliases Buzus and Bachsoy,[1] is a botnet mostly involved in sending pharmaceutical and stock based e mail spam.[2][3] The Donbot botnet is thought to consist of roughly 125,000 individual computers,[2] which combined… …   Wikipedia

  • Damballa (company) — For the Vodou spirit, see Damballa. Damballa Type Corporation Industry Computer security Founded 2006 Founder(s) …   Wikipedia

  • zombie computer —        computer or personal computer (PC) connected to the Internet and taken over by a computer worm, virus, or other “malware.” Groups of such machines, or botnets (from a combination of robot and network), often carry out criminal actions… …   Universalium

  • Operation: Bot Roast — is an operation by the FBI to track down bot herders, crackers, or virus coders who install malicious software on computers through the Internet without the owners’ knowledge, which turns the computer into a zombie computer that then sends out… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”