News

Frei verfügbare Botnetz-Enzyklopädie

1. September 2020 von Bianca Wellbrock

Botnet - Sind Sie gewappnet?
©beebright - stock.adobe.com

5
(2)

Im Kampf gegen Cyberkriminalität ist es sowohl für Unternehmen als auch für private Anwender*innen sinnvoll, sich mit den Maschen der Cyberkriminellen auszukennen. Dazu gehört unter anderem auch, zu wissen, was ein Botnetz ist – und das möchte Guardicore nun mit einer Botnetz-Enzyklopädie erreichen. Die Informationen dieser Wissensdatenbank sollen fortlaufend aktualisiert werden, sodass aktuelle und vergangene Botnet-Kampagnen bestens dokumentiert werden.

Botnet – infiziert, gekapert und missbraucht

Botnet und Botnetz sind zwei synonym verwendete Begriffe für denselben Vorgang: Ein Botnet besteht aus einem Netz gekaperter Rechner. Die Besitzer*innen dieser gekaperten Computer ahnen in der Regel nichts davon. Zunächst wird der Zielrechner, der ins Botnet eingebunden werden soll, mit Malware infiziert. Dank dieser Schadsoftware kann der Angreifer die Kontrolle über das System übernehmen – der Rechner reagiert also roboterartig, deshalb „Bot“.

Gekaperte Rechner lassen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern. Die Angreifer selbst, die Kontrolle übers Botnetz ausüben, bezeichnet man als Bot-Herder oder –Master.

Tatsächlich ist die Übernahme eines Rechners zu einem Teil des Botnets Resultat eines schlecht gesicherten Computers: Der Angreifer kann dann die Rolle des Administrators übernehmen. Daten lassen sich dann einsehen, missbrauchen und manipulieren, außerdem kann der Rechner mit allen seiner Funktionen und Leistungen zu kriminellen Zwecken missbraucht werden.

Somit werden die Anwender*innen gekaperter Rechner ungewollt zu einem Teil dieser kriminellen Aktivitäten. Die ferngesteuerten Computer werden für unterschiedliche Aktivitäten verwendet: Spamming, fürs Speichern illegaler Dateien, fürs Verteilen von Schadsoftware oder auch für DDoS-Attacken.

Es sind im Übrigen nicht nur Rechner gefährdet, Teil von Botnetzen zu werden, sondern jedes vernetzte Gerät mit einem Zugang zum Internet. Hier verweisen wir insbesondere auf IoT-Geräte, die in aller Regel sehr weit vom Schutzniveau gängiger Computer entfernt sind. Aber auch Mobilgeräte wie Smartphones oder Tablets können gekapert und Botnets hinzugefügt werden.

Botnetze und ihre Ziele

Der Aufwand, ein Botnet zu erstellen, ist nicht ganz ohne: Müssen doch erst genügend Geräte zum Erstellen dieses Netzwerks gekapert werden. Wozu machen sich Cyberkriminelle so großen Aufwand?

Die Vielseitigkeit eines Botnets ist es, was ihre Attraktivität ausmacht. Moderne Bots sind multifunktional: Sie können nach der Infektion eine Zeitlang schlummern und erst später aktiv werden, sie können sofort Daten ausspähen oder aber als Erpressungstrojaner Einsatz finden. Bots werden sehr oft dafür eingesetzt, anderen Schaden zuzufügen – etwa mit Verschleierungstaktik: Das Botnet lässt sich bei einem Angriff beispielsweise als Proxy einsetzen. Für den Zielrechner erscheint es, als käme der Angriff vom mit dem Bot infizierten Computer, während sich der tatsächliche Angreifer verschleiern kann.

Über Botnetze werden auch Spam- oder Phishing-Mails versendet. So kann es dem Botnet auch gelingen, sich selbstständig zu vergrößern: Die hauseigene Schadsoftware wird auf immer mehr Rechnern implementiert und immer größer wird das Netzwerk.

Die von Unternehmen mit am meisten gefürchtete Angriffsart sind DDoS-Angriffe – auch dafür eignen sich Botnetze hervorragend. Das Botnet bombardiert das Opfer-System mit der gebündelten Rechnerleistung sowie Netzwerk-Bandbreite all der angeschlossenen Geräte solange, bis das Zielsystem unter dieser Last in die Knie geht und nicht mehr erreichbar ist. Angriffe dieser Art lassen sich gut im Darknet verkaufen, sodass Botnet-Betreiber durchaus schöne Sümmchen verdienen können.

Indem Botnetze Sniffer oder Passwort-Grabber nachladen, können sie ebenfalls gewaltigen Schaden anrichten: es lassen sich private Daten einschließlich Web-Formulare (also womöglich auch Bank-Zugangsdaten!) auslesen, sodass diese Daten an die Hintermänner weitergleitet und zu Barem gemacht werden können.

Auch der Einsatz von Ransomware über Botnetze ist äußerst beliebt – ein negativer Trend, der leider anhält. Ransomware-Angriffe mit Lösegeld-Forderungen sind sehr attraktiv für Cyberkriminelle: Möchte das Opfer seine Daten zurück, werden häufig absurd hohe Summen gezahlt.

Botnet: Tipps & Schutzmaßnahmen

Aufgrund der immensen und immer weiter steigenden Verbreitung vernetzter Geräte ist die Wahrscheinlichkeit hoch, dass auch die Gefahr der Verbreitung von Botnetzen steigend ist. Wie Sie lesen konnten, können Geräte wie Rechner oder Smartphones durch Sicherheitslücken in Software übernommen werden oder aber durch unaufmerksame bzw. zu wenig wissende Nutzer*innen. Das bedeutet in der Schlussfolgerung, dass eine Kombination aus Awareness sowie technischen Maßnahmen die Wahrscheinlichkeit senkt, ungewollt zum Teil eines Botnets zu werden. Auf der technischen Seite stehen diese Maßnahmen:

  • Updates: Führen Sie auf all Ihren Geräten Updates immer zeitnah aus; idealerweise automatisieren Sie das Ausführen von Updates, sodass möglichst wenig offene Sicherheitslücken in der Software klaffen.
  • Firewall: Die Firewall schützt ein Netzwerk vor unerwünschten Zugriffen von außen. Meist ist die Firewall im Router integriert und schützt netzwerkweit.
  • AV-Software: Nutzen Sie eine immer aktuell zu haltende Antiviren-Software. Entscheiden Sie sich für eine professionelle Anti-Malware-Lösung mit signatur- und verhaltensbasierter Schadsoftware-Erkennung.
  • Monitoring: Überprüfen Sie Systeme und Netzwerkverkehr in regelmäßigen Intervallen, um etwaige Infektionen schnellstmöglich aufzudecken. Verdächtige Aktivitäten wie die folgenden können Anzeichen dafür sein, dass das Gerät zu einem Botnetz gehört:
    • Ungewöhnlich hohe Internet- und Netzwerkbelastungen
    • Extrem erhöhtes Aufkommen ausgehender E-Mails
    • Deutlich verzögerter E-Mail-Versand, deutlich verzögerte Rechenleistung
    • Massives Scannen eines oder mehrerer Ports von außen
    • Beschwerden von Dritten über Spam-Mails, die vom eigenen E-Mail-Server ausgegangen sein sollen

Es ist sinnvoll für Unternehmen, grundsätzlich gegen DDoS-Attacken und Spamming geschützt zu sein. Weiter ist es günstig – sowohl für Privatpersonen als auch für Unternehmen – die eingesetzten IoT-Geräte unter die Lupe zu nehmen. Anti-Malware-Lösungen, die lokal auf dem jeweiligen IoT-Gerät gespeichert werden, existieren kaum. Also muss dafür eine Lösung her, die in der Lage ist, Schadsoftware zu erkennen, bevor sie auf dem Gerät ankommen kann, und die darüber hinaus Schwachstellen von außen abschirmt. Hier böte sich beispielsweise Virtual Patching an: Mittels Web Application Firewall (WAF) lässt sich regeln, wer wie auf die entsprechende Applikation zugreifen darf; es werden also die zu schützenden Applikationen gegen ungewollte und/ oder bösartige Zugriffe abgeschirmt. Grundsätzlich gilt jedoch, dass Patching – also das Flicken von Schwachstellen – besser ist als Virtual Patching – das Aussperren unbefugter Dritter anstelle des Flickens einer Schwachstelle.

Botnetz-Enzyklopädie von Guardicore

Guardicore ist ein israelisches Unternehmen für Rechenzentrums- sowie Cloud-Sicherheit. Die hauseigene Botnet Encyclopedia soll Bedrohungen für Unternehmen an einen zentralen und frei zugänglichen Ort zusammenfassen. Basis dieser Botnet-Enzyklopädie bildet das Guardicore Global Sensors Network; ein Netzwerk von Erkennungssensoren, die weltweit in Rechenzentren und Cloudumgebungen eingesetzt werden.

Diese Sensoren können Angriffsströme nicht nur vollständig erfassen, sondern sie auch auswerten. All dieses Wissen fließt in die Botnet-Enzyklopädie ein, die von IT-Abteilungen, Sicherheitsteams, Forschern oder der Cybersecurity-Community zum besseren Verständnis und Schutz der Bedrohungen genutzt werden kann. Interessierte können Botnets per Freitextsuche finden oder die Einträge über Kompromittierungsindikatoren (IoC, Indicators of Compromise) durchsuchen; beispielsweise nach IP-Adresse, Dateiname oder Service-Bezeichnung.

Zu den aktuellen Botnetzen gehören unter anderem:

  • FritzFrog: Dieser Wurm wird seit Januar 2020 für Brute-Force-Angriffe auf SSH-Servern eingesetzt. Durch unbemerktes Autorisieren des öffentlichen SSH-Angreiferschlüssels können eintreffende Datenverbindungen belauscht werden. Infizierte Rechner fügt FritzFrog einem Peer-to-Peer-Botnet hinzu, welches auf mehrere Netzwerkknoten verteilt ist. Die Sicherheitsspezialisten von Guardicore sehen den dezentralen Wurm als „ungewöhnlich und gefährlich“. Weitere Analysen sollen den Erkenntnisstand erhöhen.
  • Vollgar: Das Vollgar-Botnet arbeitet mit Brute-Force-Attacken, um Opferrechner zu infizieren. Installiert werden für illegale Aktivitäten Fernzugriffstools und Kryptominer.
  • B3astMode: Diese DDoS-Kampagne zielt auf Huawei-Router und CCTV-Kameras ab, um diese im Botnet einzubinden. Das Mirai-basierte Botnet schnappt sich aber auch SSH-Server oder IoT-Geräte. Über eine Sicherheitslücke im Huawei-Router gelingt es, sich einzuklinken.
  • Bins: Auch Bins gehört der Familie der DDoS-Kampagnen an. Die durch Bins verbreitete Malware ist eine Mirai-Variante mit verschiedenen Funktionen, unter anderem IP-Spoofing oder SYN-Floods.
  • Dota: Dota ist eine Cryptomining-Kampagne für verschiedene Systemarchitekturen, die das interne Netzwerk scannt und die Malware auf zusätzlich darin befindliche Geräte verteilt. Im Rahmen dieser Nachinfektion ändert Dota mal eben das Root-Passwort und erstellt eine Hintertür, indem der autorisierte SSH-Schlüssel mit dem eigenen überschrieben wird. Systeminformationen wie CPU, Speicherplatz und installierte Cronjobs werden ausgelesen.
  • PLEASE_READ_ME_VVV: Die Angreifer kompromittieren in diesem Fall MySQL und versuchen dann, die Datenbank zu verschlüsseln. Es gibt einen üblichen Lösegeldschein, der sich in einer der Datenbanken befindet – diese Textdatei trägt den Namen „Warnung“. Darin zu lesen ist: „Um Ihre verlorene Datenbank wiederherzustellen und eine Veröffentlichung zu vermeiden, senden Sie uns 0,6 Bitcoin an unsere Bitcoin-Adresse und kontaktieren Sie uns per E-Mail mit Ihrer Server-IP oder Ihrem Domainnamen und einem Zahlungsnachweis. Wenn Sie sich nicht sicher sind, ob wir Ihre Daten haben, kontaktieren Sie uns und wir senden Ihnen einen Nachweis. Ihre Datenbank ist heruntergeladen und auf unseren Servern gesichert. Wenn wir Ihre Zahlung in den nächsten 10 Tagen nicht erhalten, werden wir Ihre Datenbank veröffentlichen oder anderweitig verwenden.“

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu