Ihr aktueller Web-Browser zeigt die Seite möglicherweise nicht ordnungsgemäß an.

TrendSecure bietet die beste Leistung mit der neuesten Version von Microsoft Internet Explorer - oder - Mozilla Firefox .

Vorderste Verteidigungslinie

Alles über Bot-Netze. Teil 1: Angriffsverhalten

Bot-Netze, und nicht etwa Spam, Viren oder Würmer, sind zurzeit vermutlich die größte Bedrohung, die im Internet lauert. Die Zielsetzung von Internet-Angriffen verschiebt sich mehr und mehr in Richtung organisierter Kriminalität zu Profitzwecken. Während Hacker früher nur nach Ruhm und Anerkennung strebten, können sie heute mit leistungsstarken, raffinierten und in großer Zahl einsetzbaren Techniken wie den Bot-Netzen viel Geld machen.

Ein Bot-Netz besteht aus mehreren Computern, die ohne Wissen der Benutzer durch Malware infiziert und mithilfe von IRC zum Senden bösartiger Programme, wie z.B. Spam und Spyware, an andere Computer im Internet manipuliert wurden. Diese Computer, so genannte "Bots", werden von einem einzigen Hacker (oder einer kleinen Gruppe von Hackern), auch bekannt als Botmaster, fremdgesteuert.

Sobald der Botmaster sein Bot-Netz eingerichtet hat, können verschiedene Angriffe geführt werden: DDoS (Distributed Denial of Service), Social Engineering und die dazugehörigen Spam-Mails, die externe Ausnutzung von Schwachstellen, das Aufzeichnen von Tastatureingaben (Keylogger) oder des Netzwerkverkehrs (network traffic sniffers). Bot-Netze können auf ein gewaltiges Ausmaß vereinter Rechnerleistung zugreifen und dadurch verschiedenartige Angriffe gegen vielfältige Zielgruppen ausführen. Beispielsweise kann der Botmaster jedem Bot in seinem Netz befehlen, Spam-Mails zu versenden, Kreditkartendaten zu entwenden (die ihrerseits von verborgen installierten Keyloggern gesammelt wurden) und gleichzeitig DDoS-Angriffe gegen tausende von Computer-Hosts auszuführen. Anzahl, Raffinesse und Leistungsstärke der Bot-Netze nehmen immer weiter zu. Zu ihrer Ausbreitung tragen neue Bots und die Weiterentwicklung der vorhandenen Bots bei.

Bot-Netze infizieren neue Hosts mit Social-Engineering-Methoden und durch die Verbreitung bösartiger E-Mails. Ein Bot-Netz kann Malware an E-Mails anhängen oder darin Links einbetten, die auf anderswo gespeicherte Malware verweisen. Social-Engineering-Techniken mit Betreffzeilen, wie beispielsweise "Check out this picture!", und einem infizierten Anhang, der Ähnlichkeiten mit einer jpg-Datei aufweist, sollen Computerbenutzer dazu verleiten, die Malware auszuführen. Bot-Netze können auch gezielt nach neuen Hosts mit beispielsweise Schwachstellen im Betriebssystem oder im Browser suchen. Auf diese Weise vergrößert sich das Bot-Netz regelmäßig.

Eine der ältesten Bot-Netz-Angriffe ist der DDoS-Angriff, bei dem mehrere infizierte Computer ein einzelnes Ziel mit so vielen Benutzeranfragen belasten, bis das angegriffene System seine Dienste einstellt. In den Anfangstagen der Bot-Netze richteten sich DDoS-Angriffe gegen große Unternehmen, wie z.B. Yahoo! und Microsoft. Vor kurzem erfolgte DDoS-Angriffe dienten auch der Erpressung von Unternehmen. Insgesamt ist ihre Anzahl jedoch zurückgegangen.

Bot-Netze werden häufig auch zur Verbreitung von Spam-Mails eingesetzt, da die Opfer die Spam-Quelle nicht ermitteln und Bot-Netze weitaus größere Mengen von Spam verbreiten können. Spam kann dazu dienen, Systemschwachstellen auszunutzen oder die Benutzer zum Besuch bösartiger Websites zu verleiten, die durch das Ausnutzen von Sicherheitslücken im Internet-Browser Malware auf ihren Computern installiert.

Bot-Netze werden auch häufig dazu eingesetzt, den Benutzern durch Keylogger und Network Traffic Sniffer Daten zu entwenden. Keylogger manipulieren das Betriebssystem des Hosts, um die Aktivitäten des Benutzers auszuspionieren und Tastatureingaben mitzuverfolgen. Network Traffic Sniffer überwachen den Datenverkehr im Netzwerk, der über das Subnetz des infizierten Hosts gesendet wird. Beide Tools zeichnen kritische Daten auf, tragen sie zusammen und senden sie zurück an ihren Botmaster. Dies geschieht beispielsweise über einen speziellen, von einem Bot-Netz erstellten IRC-Kanal, oder per E-Mail an eine bestimmte E-Mail-Adresse.

Botmaster haben in der Regel drei Möglichkeiten zur Steuerung von Bot-Netzen: zentralisiert, mit P2P ("Peer-to-Peer") und auf Zufallsbasis. In einem Bot-Netz (und dies gilt auch für seine Varianten) ist eindeutig festgelegt, wie Befehle verteilt und das Netz gesteuert wird. Ohne diesen Mechanismus kann kein Bot-Netz wirksam betrieben werden. Zugleich aber ist der Befehls- und Steuermodus das schwächste Glied des Bot-Netzes. Durch die Deaktivierung des Befehls- und Steuermodus oder eine Unterbrechung der entsprechenden Kommunikation kann der Botmaster nicht mehr alle Bots kontaktieren oder groß angelegte, koordinierte Angriffe durchführen. Bei der Bekämpfung von Bot-Netzen spielt also die Erkennung des Befehls- und Steuermodus eine zentrale Rolle.

Heutige Bot-Netze beruhen zum großen Teil auf der zentralisierten Methode mit einem C&C-Server. Der Botmaster wählt einen einzelnen Host mit hoher Bandbreite als C&C-Server für alle Bots aus. Dieser C&C-Server ist in der Regel ebenfalls ein infizierter Computer. Auf ihm werden bestimmte Netzwerkdienste, wie z.B. IRC, HTTP, usw., ausgeführt. Wird ein neuer Computer von einem Bot infiziert, wird er über den Verbindungsaufbau mit dem C&C-Server zum Teil des Bot-Netzes. Der C&C-Server erhält dann vom Botmaster seine Befehle und leitet sie an die einzelnen Bots weiter. Zum Schutz ihrer Kommunikation können Bot-Netze Schutzmechanismen einsetzen. Ein IRC-Kanal kann vor Lauschangriffen beispielsweise durch ein Kennwort geschützt werden, das nur den Bots und ihrem Botmaster bekannt ist.

Es gibt auch Bot-Netze, die eigens für ihre Kommunikation ein weiteres Bot-Netz einsetzen, das vor Netzwerkausfällen besser geschützt ist. Bei einem P2P-Modell ist der Befehls- und Steuermodus wesentlich schwieriger zu ermitteln und zu zerstören. Da das Kommunikationssystem sich nicht auf einige wenige ausgewählte Server stützt, wird mit der Zerstörung eines oder auch weiterer Bots nicht notwendigerweise auch das gesamte Bot-Netz zerstört. Allerdings unterliegen auch P2P-Systeme einigen Einschränkungen. Zum einen unterstützen sie nur die Kommunikation in kleinen Gruppen von 10 bis 50 Benutzern, während ein "kleines" Bot-Netz mit zentralem C&C-Server 1000 Bots unterstützt. Zum anderen kann die zeitnahe Nachrichtenübertragung nicht garantiert werden. Ein solches Bot-Netz ist also weitaus aufwändiger zu koordinieren als ein zentralisiertes Modell. Aufgrund dieser beiden Einschränkungen wird das P2P-Modell nur in beschränktem Umfang von Bot-Netzen zur Kommunikation verwendet. Hier dienen sie Hackern zum Angriff auf eine kleine, spezielle Zielgruppe. Allerdings könnten P2P-Bot-Netze von technischen Weiterentwicklungen profitieren und ihren "Wirkungskreis" ausdehnen.

Das auf dem Zufallsprinzip1 basierende Modell des Befehls- und Steuermodus wurde bisher noch nicht in der Realität eingesetzt, hat aber möglicherweise gute Chancen. In diesem Modell "lauschen" die Bots auf eingehende Verbindungen von ihrem Botmaster, statt ihn oder andere Bots aktiv zu kontaktieren. Zur Durchführung eines Angriffs sucht der Botmaster das Internet nach seinen Bots ab. Das Modell besticht durch einfache Implementierung und lässt sich nur schwer entdecken und zerstören. Es birgt allerdings Probleme mit der Skalierbarkeit und bei groß angelegten, koordinierten Angriffen.

Freuen Sie sich auf Teil 2 dieser Ausführungen. Hier untersuchen wir die Mechanismen, mit denen neue Bots entdeckt und gesteuert werden. Und wir beschäftigen uns mit den Kommunikationsprotokollen, die zwischen den einzelnen Bots eingesetzt werden, und wie sich Bot-Netze ihrer Entdeckung entziehen.

1Evan Cooke, Farnam Jahanian und Danny McPherson: The Zombie Roundup: Understanding, Detecting, and Disrupting Botnets, Proc. of Steps to Reducing Unwanted Traffic on the Internet Workshop (SRUTI '05), Boston, 2005.