Botnetze: Zombies im Cyberspace

Hacker bedienen sich Millionen gekaperter Computer

Datum
23. Januar 2017
Autor

Zahlreiche Computer werden ohne Wissen und Einverständnis der Besitzer ferngesteuert. Hacker verbinden Millionen dieser „Zombies“ zu mächtigen, illegalen Botnetzen. Die Verbünde willenloser Computer gefährden nicht nur die Sicherheit der Computerbesitzer.

Was sind Botnetze? Welche Rolle spielen Botznetze für DDoS-Attacken und Trojaner? Wie können Sie sich gegen Botnetze schützen?

Grundlagen

Ein Botnetz oder Botnet ist eine Ansammlung von Computern, die ohne Wissen der Eigentümer ferngesteuert werden. Diese Computer werden missbraucht, um Schadsoftware wie Viren, Würmer und Spam zu verbreiten oder gezielte kollektive Anfragen an bestimmte IP-Adressen (DDoS-Attacken) zu senden. Ferngesteuerte Computer werden als Zombie- oder Bot-Rechner bezeichnet, weil sie nur den Befehlen der Hacker gehorchen. In den meisten Fällen werden private Computer als Bots missbraucht. Zum einen, weil sie weniger wirksam geschützt sind, zum anderen, weil die verfügbare Bandbreite stetig steigt. Als Einfallstor nutzen die Täter in der Regel offene Ports.

Häufig werden Botnetze für sogenannte DDoS-Attacken aufgebaut. Dabei fragen alle ferngesteuerten Rechner zeitgleich bestimmte Internetadressen an. Meist Server oder Webseiten. Unter der hohen Belastung der zeitgleichen Anfragen brechen die angegriffenen Systeme meist zusammen und funktionieren nicht mehr.

Typische Ziele von Botnetzen

  • Spamnachrichten versenden
  • DDoS-Attacken ausführen, beispielsweise mit der speziell programmierten Schadsoftware Mirai
  • Finanz- beziehungsweise Bankdaten abfangen oder ausspähen, zum Beispiel mit Trojanern wie Ramnit oder Tordow
  • Digitale Zugangsdaten ausspähen oder Identitätsdiebstahl, beispielsweise mit dem Lösegeld-Trojaner Locky oder dem Personalausweis-Trojaner Acecard

Drei Botnetz-Varianten

  • Botnetze aus Würmern und Viren
    Das von der Hackergruppe Pawn Storm – auch bekannt als Fancy Bear, APT28, Sofacy oder Strontium – aufgebaute Botnetz ist ein gutes Beispiel für professionelle Botnetze. Das Netz wurde unter anderem für Spam und Phishing-Angriffe genutzt, aber auch in Teilen an andere Cyberkriminelle vermietet.
  • Botnetze aus Rootkits
    Ein Update-Tool, das auf günstigen Android-Smartphones aus China vorinstalliert ist, versendet alle Daten komplett unverschlüsselt. Diese Sicherheitslücke ermöglicht sogenannte Man-in-the-Middle-Angriffe. Betroffen sind mehrere Millionen Geräte und über 50 Smartphone-Modelle, die zum Teil auch in Deutschland verkauft werden.
  • Mobile Botnetze
    Immer häufiger werden auch andere mobile Endgeräte zum Ziel der Hacker. Schon 2009 gab es mit den iPhone-Würmern ikee und Duh die ersten Versuche, mobile Endgeräte zu infizieren und zu manipulieren. Ziel waren die mTan-Nummern der Geräte. Aktuell infiziert der Trojaner Tordow mobile Endgeräte mit Android-Betriebssystem. Tordow hat es auf Passwörter und sensible Daten abgesehen.

Trojaner werden immer leistungsfähiger

  • Sie verschlüsseln alle Daten und verlangen ein Lösegeld für ihre Entschlüsselung oder Wiederherstellung
  • Sie versenden automatisiert Schadsoftware an Kontakte aus dem internen Adressenverzeichnis
  • Sie richten Admin-Rechte für die Hacker ein
  • Sie versenden und löschen automatisiert E-Mails oder SMS
  • Sie nehmen selbstständig Ton- oder Videodateien auf
  • Sicherheitsmassnahmen

Sinnvolle Sicherheitsmaßnahmen

Damit den Betreibern dieser Botnetze das Handwerk nachhaltig gelegt werden kann, müssen Anwender alle sinnvollen Sicherheitsmaßnahmen (Firewall, Betriebssystem sowie Antivirenprogramme laufend aktualisieren, Passwortrichtlinien einführen usw.) umsetzen. Außerdem ist es wichtig, jeden Vorfall den verantwortlichen Stellen (Provider, BSI, Experten, Behörden usw.) zu melden. Beachten Sie diese Tipps, um sich einfach und wirksam zu schützen:

  • Öffnen Sie keine Anhänge oder klicken Sie auf keine Links in E-Mails, ohne sie vorher zu prüfen.
  • Kontrollieren Sie die URL, bevor Sie Ihre Login-Daten auf einer Webseite eingeben. Hacker könnten versuchen, mit einer perfekt kopierten Seite an Ihre Daten zu kommen.
  • Achten Sie darauf, ob die Verbindung verschlüsselt ist, wenn Sie sich auf einer Webseite mit Benutzernamen und Passwort authentifizieren müssen.
  • Eine Schwachstelle sind die zentralen Server oder Master-Server, mit denen sich die infizierten Computer verbinden wollen, um sie zu manipulieren. In der Regel sind das Internet Relay Chat Server (IRC), die alle Anweisungen (koordinierte DDoS-Angriffe, Versand von Spam-E-Mails oder Verteilen von Schadsoftware usw.) an alle verbundenen Botrechner weiterleiten. Wenn Sie die IRC-Protokolle sperren oder filtern würden, könnten Sie das Botnetz ausschalten. Außer, wenn die Hacker noch andere Kommunikationsprotokolle einsetzen. Sobald sie beispielsweise Hypertext-Transfer-Protokolle (HTTP) einsetzen, ist es viel schwieriger, diese zu sperren oder zu filtern.

Fazit

Eins ist sicher: Angriffe aus dem Internet werden in Zukunft weiter zunehmen. In Zeiten, wo selbst der Kühlschrank mit dem Internet verbunden ist, könnte er daran beteiligt sein, wenn Internetdienste ausfallen oder Schadsoftware verteilt wird.
Um die Gefahren effektiv eindämmen zu können müssen sämtliche Akteure mitmachen:

  • Die Hersteller internetfähiger Endgeräte müssen Sicherheitsmaßnahmen im Entwicklungsprozess berücksichtigen und einbinden.
  • Die Provider müssen schneller reagieren und ihre Endkunden besser informieren.
  • Jeder Anwender muss sich an die bewährten, im Artikel erwähnten Sicherheitsmaßnahmen halten.

Nur so ist es möglich, die Sicherheitslücken zu schließen. Wenn wir alle Systeme und Daten bestmöglich schützen, können wir die Risiken minimieren, bevor sie außer Kontrolle geraten.