Die Bedrohung durch Botnetze – ein Überblick

IP-basierte Geräte werden in Clustern zusammengeschlossen

Ursprünglich wurden Botnetze als Werkzeuge zur Automatisierung von nicht-kriminellen Routineaufgaben entwickelt. Eines der ersten dokumentierten Botnetze aus dem Jahr 1993, unter dem Botnamen „eggdrop“ bekannt, wurde aufgesetzt, um IRC-Channels (Internet Relay Chat) gegen Übernahmeversuche zu schützen.

Seitdem wurden Botnetze von Hackern entdeckt und massiv professionalisiert. Heutige Botnet-Malware umfasst verschiedene Angriffstechniken, die gleichzeitig über mehrere Vektoren ausgeführt werden können. Grundsätzlich funktionieren Botnetze, indem Cyberangreifer mit dem Internet verbundene Rechner, mobile Endgeräte, aber auch IoT-Geräte kompromittieren, deren Steuerung übernehmen und diese zu einem Rechnerverbund, einem Netz oder Cluster, zusammenschließen. Die eigentlichen Besitzer der Geräte bekommen von der missbräuchlichen Nutzung meist nichts mit. So können Angreifer oft Tausende von Maschinen in sehr kurzer Zeit infizieren und für ihre Zwecke nutzen. Im Falle des Mirai-Angriffs sprechen Experten von bis zu 500.000 zusammengeschlossenen Geräten, darunter IoT-basierte Einheiten wie Überwachungskameras.

Auch der Angriff auf Telekom-Router im November 2016, von dem mehr als eine Million Kunden betroffen waren, hatte zum Ziel, die Router als Teil eines Botnetzes zu missbrauchen. Meist werden Botnetze für DDoS-Angriffe eingesetzt, mit dem Ziel, Internetservices, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens oder einer Organisation lahmzulegen. Dazu werden Server oder andere Komponenten so lange mit Anfragen, also mit Datenverkehr, überlastet, bis diese nicht mehr verfügbar sind. Der Datenverkehr (Traffic), den ein zweckentfremdetes IoT-Gerät alleine generieren kann, ist zwar nur gering – doch wenn Tausende von ihnen als Cluster zusammengeschlossen sind, können Angriffe im dreistelligen Gbps-Bereich (Gigabit pro Sekunde) erzielt werden.

Aus krimineller Sicht ist die „Bot-Ökonomie“ attraktiv

Für Hacker ist diese Form der Cyberkriminalität durchaus lukrativ. Für sie fallen keinerlei Infrastrukturkosten an, da sie eben fremde IP-basierte Geräte nutzen, um Angriffe auszuführen. Die Anonymität des Darknets und der intransparente Handel über Kryptowährungen spielen ihnen außerdem in die Hände. Botnetz-Betreiber können einerseits selbst Angriffe fahren, sind aber andererseits auch häufig daran interessiert, „ihr“ Netz an Dritte gegen Bezahlung weiterzuvermieten.

Zugang zum Mirai-Botnetz konnten Interessierte beispielsweise für 7.500 US-Dollar erwerben. DDoS-Angriffe über Botnetze sind aber auch bereits ab fünf US-Dollar im Darknet erhältlich. Je nach gewünschter Dauer und Botanzahl variieren die Preise.

Aus ökonomischer Sicht sind Botnetze für ihre Betreiber eine attraktive Plattform, um darauf basierend Dienstleistungen für Dritte anzubieten. Neben der Nutzung für DDoS-Attacken sind die kriminellen Einsatzmöglichkeiten von Botnetzen vielfältig:

• Spam oder Malware schnell und kaum nachvollziehbar per E-Mail verschicken
• Klickbetrug durchführen
• groß angelegte Phishing-Angriffe für die Verbreitung von Malware hosten
• Software-Lizenzdaten abgreifen
• persönliche Informationen und Identitäten stehlen
• Kreditkarten- und anderen Kontoinformationen, einschließlich PIN-Nummern oder Passwörter ausspionieren
• Keylogger installieren
• Offene Proxies für einen anonymen Internetzugang
• Brute-Force-Attacken auf andere Ziele im Internet ausführen

Botnetze sind auch für technisch wenig versierte Dritte nutzbar

Ein weiterer attraktiver Aspekt für Hacker ist, dass Botnet-Malware-Komponenten relativ einfach zusammengestellt, getauscht und aktualisiert werden können. Die Veröffentlichung des LizardStresser-Quellcodes Anfang 2015 hat dazu beigetragen, diesen Trend zu forcieren. Der Code war für Dritte leicht zugänglich und einfach zu bedienen. Außerdem verfügte er über einige ausgefeilte DDoS-Angriffsmethoden: TCP-Verbindungen offen zu halten, eine zufällige Reihe von Junk-Zeichen an einen TCP- oder UDP-Port zu senden oder wiederholt TCP-Pakete mit bestimmten Flags zu senden.

Die Malware enthielt auch einen Mechanismus, um beliebige Shell-Befehle auszuführen – etwa um aktualisierte Versionen von LizardStresser mit neuen Command-and-Control-Geräten oder ganz neuer Malware herunterzuladen. Und durch das Mirai-Botnetz wurde die Hürde, dass auch wenig technikaffine Dritte Botnetze einsetzen können, nochmals deutlich gesenkt. Gleichzeitig führte dies zu neuen Einnahmemöglichkeiten für Cyberkriminelle und Botnetzbetreiber.

IoT-Geräte einfach für illegale Nutzung zweckentfremden

Vor allem der Einsatz und die steigende Anzahl von IoT-Geräten treibt das Geschäft mit Botnetzen an. Das Analystenhaus IDC geht davon aus, dass bis 2025 mehr als 75 Milliarden Geräte im IoT vernetzt sein werden. Damalige Botnetze basierend auf dem LizardStresser-Code nutzten schätzungsweise lediglich 10.000 IoT-Geräte, hauptsächlich Webcams, um DDoS-Angriffe auszuführen.

Das ursprüngliche Mirai-Botnetz vor zwei Jahren umfasste bereits etwa 500.000 IoT-Geräte weltweit. Obwohl Hersteller Abhilfemaßnahmen ergriffen haben, werden IoT-Geräte oft noch mit Standard-Anmeldeinformationen oder bereits bekannten Sicherheitsproblemen ausgeliefert.

Um Ressourcen zu sparen, nutzen Hersteller auch Hard- und Software in verschiedenen Geräteklassen. Standardkennwörter, die zur Verwaltung des ursprünglichen Geräts verwendet werden, können so für völlig unterschiedliche Geräteklassen freigegeben werden. Und ungesicherte IoT-Geräten sind weiterhin im Einsatz. Damit eignen sie sich hervorragend für die illegale Nutzung krimineller Botnetze.

„Die Professionalisierung krimineller Botnetze, der relativ einfache Zugang für Dritte und die steigende Verbreitungsrate von immer noch ungesicherten IoT-Geräten haben Botnetze für Cyberkriminelle zu einer wichtigen Einnahmequelle gemacht.“

Guido Schaffner, Netscout Arbor

Die Geräte werden in der Regel nicht verwaltet und können daher als anonyme Proxies fungieren. Außerdem sind sie meist rund um die Uhr online verfügbar und können jederzeit ohne Bandbreitenbeschränkung oder Filterung eingesetzt werden. Zudem nutzen die Geräte häufig eine abgespeckte Version bekannter Linux-Betriebssysteme und verfügen somit über weniger Sicherheitsfunktionen.

Gefahr und Verbreitung von Botnetzen nimmt zu

Und die Macht krimineller Botnetz-Infrastrukturen wächst. Im November 2017 hat das Necurs-Botnetz über eine große angelegte E-Mail-Kampagne Erpressungstrojaner, unter dem Namen Scarab-Ransomware bekannt, verschickt. Nercurs versendete rund 12,5 Millionen infizierter elektronischer Nachrichten in nur sechs Stunden. Dies entspricht einer Rate von zwei Millionen E-Mails pro Stunde. Das gleiche Botnet war auch in die Verbreitung des Dridex-Banking-Trojaners, Trickbot-Banking-Trojaners, Locky-Ransomware und Jaff-Ransomware involviert.

Die Professionalisierung krimineller Botnetze, der relativ einfache Zugang für Dritte und die steigende Verbreitungsrate von immer noch ungesicherten IoT-Geräten haben Botnetze für Cyberkriminelle zu einer wichtigen Einnahmequelle gemacht. Die Gefahr als Unternehmen Opfer eines Botangriffs zu werden, steigt also. Da Botnetze vor allem für DDoS-Attacken eingesetzt werden, ist eine geeignete DDoS-Abwehrlösungen ein Muss für Unternehmen. Gerade hochvolumige DDoS-Angriffe können die gesamte IT-Infrastruktur über Tage und Wochen lahmlegen.

Schutz vor Botnetz-Angriffen

Sicherheitsexperten sind sich einig, dass Unternehmen auf mehrstufige DDoS-Abwehrmaßnahmen setzen sollten. Mehrstufige Abwehrlösungen setzen sich aus einer vor Ort installierten Komponente und eines Cloud-basierten Elementes zusammen. Die On-Premises-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von Angriffen, bevor es zu Auswirkungen auf Dienste kommt. Außerdem eignet sich diese besonders für die Abwehr von Attacken auf Anwendungsebene. Allerdings ist die Vor-Ort-Lösung nicht in der Lage, die zunehmend häufiger auftretenden hochvolumigen Angriffe abzuwehren, die dazu führen, dass die Internetkonnektivität nicht mehr gewährleistet werden kann. Hier kommt nun die Cloud-basierte Komponente ins Spiel. Übersteigt die Größe eines vor Ort erkannten Angriffs einen definierten Schwellenwert, können Cloud-basierte Gegenmaßnahmen automatisch aktiviert werden.

Experten gehen davon aus, dass die Gefahr für Unternehmen durch Botnetze weiter steigen wird. Der Internetverband eco stellte fest, dass von etwa 175.000 untersuchten Rechnern in Deutschland 38 Prozent mit Bots infiziert waren. Und im April 2018 lag Deutschland laut botnet-tracker auf dem vierten Platz in der Liste der Botnetz-Länder hinter China, USA und Frankreich. Ob man ungewollt Teil eines Botnetz geworden ist, ist zwar nur sehr schwierig herauszufinden – doch sollten Unternehmen sich zumindest vor möglichen Angriffe durch Botnetze über eine geeignete Abwehrlösung schützen.

Über den Autor:
Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor, einem Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -Management sowie in der IT-Sicherheitstechnik.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!