Botnet

PCs werden zu willenlosen Handlangern

Von Sabine Philipp/Uli Ries

Bei so genannten Botnetzen (Botnets) wird der Rechner durch Schadsoftware „gekapert“ und so unter Fremdkontrolle gebracht, dass er dann wie ein ferngesteuerter Zombie die Befehle der Cyberganoven durchführt. Und wenn viele Rechner auf diese Weise „versklavt“ werden, um z.B. mit Anfragen ein Portal in die Knie zu zwingen, spricht man von Botnetzen.

Botnetze werden auch gerne an andere unseriöse Gesellen vermietet, die ihrerseits Trojaner, Spam oder Phishing-Mails verschicken – sie sind also quasi die Schwarmintelligenz der Cyberkriminellen. Gleichzeitig sind diese Netze das, was für Bankräuber ein mit Sprengstoff beladener Lastwagen ist, der durch die Fassade bricht: das Werkzeug für massive Angriffe mit roher Gewalt (Brute-Force-Attacken). Weltweit standen bislang selten mehr als einige hunderttausend PCs von arglosen Nutzern unter der Kontrolle der Botnetz-Betreiber. Würmer wie Conficker könnten das mit einem Schlag ändern und die bislang bekannten Schadfunktionen auf eine noch nicht gekannte Ebene heben.

Ob er es will oder nicht, hat jeder Webnutzer mehrmals am Tag Kontakt mit einem Botnetz – wahrscheinlich nicht als Opfer, dessen PC mit einem Botnet-Schädling infiziert wurde und so zum Werkzeug (Zombie) der Botnetz-Betreiber wurde, ganz sicher aber als E-Mail-User. Denn laut seriösen Schätzungen gehen 90 % des weltweiten Spam-Aufkommens auf das Konto von Botnetzen. Dabei sind diese Untergrundnetze wie Cutwail, Kraken, Storm oder Srizbi keine neumodische Erscheinung; sie spuken vielmehr bereits seit Jahren – meist unbemerkt von unbedarften Anwendern – durchs Netz.

Wenn wir Rechner erwachen

Allen Botnetzen gemeinsam ist ihr grundsätzlicher Aufbau: Der Bot-Master – auch Command&Control-Server genannt – steuert die infizierten PCs aus der Ferne. Befallen werden die in Haushalten und Büros stehenden Rechner durch die klassischen Verbreitungswege von Malware: Drive-by Infections durch infizierte Websites, vermeintliche Video-Codecs, die Schadsoftware mitbringen, verseuchte E-Mail-Anhänge etc. Obendrein tricksen die Schädlinge Antivirenprogramme aus, indem die Bots ihren Programmcode vor jeder Neuinfektion ändern (Code Morphing), so dass im Moment der Infektion keine Übereinstimmung mit den Signaturen der Antivirensoftware-Hersteller besteht.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

In den Anfängen der Botnetze lief die Kommunikation zwischen Bot und Master über Chatserver (IRC). Inzwischen nutzt die Fernsteuerung HTTP – und kommt so ungehindert durch jede beliebige Firewall, die Webtraffic über Port 80 zulässt. Auch verschlüsselte Kommunikation über Port 80 wurde zwischen Bot und Master schon beobachtet.

Die Kommandos aus der Ferne veranlassen verschiedenste Aktivitäten der Zombies: Sie versenden auf Kommando hundertausendfach Spam, leiten DDoS-Attacken ein (Distributed Denial of Service) – die Cyberattacken auf Georgien im Sommer 2008 gehen sehr wahrscheinlich auf das Konto eines von Russen kontrollierten Botnets – oder laden selbstständig neue Varianten des Bots mit neuen Funktionen nach. Das Asprox-Botnet konnte auf dem Höhepunkt seines schädlichen Treibens sogar per vollautomatischer SQL-Injection reguläre Websites mit bösartigen JavaScripts infizieren – um so noch mehr PCs unbedarfter Websurfer zu verseuchen.

Im Kampf gegen die Hydra

Zu Beginn waren die Netze relativ leicht auszuschalten: Es genügte, die unverschlüsselte Kommunikation zwischen Bot und Master zu belauschen, um so die IP-Adresse des Masters zu ermitteln und ihn dann vom Netz zu nehmen. Damit wurde die Befehlskette zwischen Command&Control-Server und hunderttausendfach verbreitetem Bot unterbrochen; die Zombies stellten nach und nach ihren Dienst ein.

Heute ist dies schwer bis unmöglich. Denn inzwischen dienen ständig neue Maschinen aus den Reihen der Zombies als zwischengeschaltete Kontrollstationen (Proxy), so dass Internet Provider und Strafverfolger die Spur zum Master nicht mehr nachzeichnen können. Der digitale Strippenzieher bleibt unerkannt im Hintergrund, die Proxy-Zombies blockieren die Sicht.

Abschalten hilft – aber nicht auf Dauer
Als der US-Provider McColo wegen des Hostings illegaler Server still gelegt wurde, ging das weltweite Spam-Volumen quasi über Nacht um knapp zwei Drittel herunter. Ganz offensichtlich war McColo die Zuflucht für verschiedene Command&Control-Server, die durch die Aktion unschädlich gemacht wurden. Die Spam-Ebbe währte aber nur kurz, da das so genannte Rustock-Botnetz bereits nach einigen Tagen wieder große Mengen Spam-Nachrichten verschickte: Die Rustock-Bots sind so clever programmiert, dass sie von sich aus Kontakt zu Domains aufnehmen, deren Namen sie per Algorithmus selbst erzeugen. So finden sie wieder Anschluss zum CC-Server, der unter einigen der mit dem gleichen Algorithmus errechneten Domain-Namen erreichbar ist.

Um das Verwirrspiel technisch umzusetzen, bedienen sich die Botnet-Betreiber einer raffinierten Technik namens Fast Flux. Damit können die Cyberkriminellen ihren Domains etliche verschiedene IP-Adressen zuweisen und so verschiedene PCs bzw. Zombies mit der Domain verknüpfen. Ist ein Zombie aus verschiedenen Gründen nicht erreichbar, wird die Anfrage – z.B. ein mögliches Phishing-Opfer auf dem Weg zur Phishing-Site – an die nächste gerade verfügbare IP-Adresse weiter gereicht. Betreiber legitimer Webdienste nutzen dieses so genannte Round-Robin-Prinzip schon lange, um die Verfügbarkeit ihrer Seiten zu erhöhen. Fast Flux wechselt die verknüpften IP-Adressen in Abständen von nur wenigen Minuten, so dass auch mit großem technischen Aufwand nie mit Gewissheit feststellbar ist, welcher Rechner im Moment hinter den Attacken steckt.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Fazit: Doppelt in der Verantwortung

Das Ganze ist in Wahrheit noch übler, als es klingt: Denn wenn es ein durch Botnetzte Geschädigter genau wissen will und nach dem Übeltäter forscht, dann kommt er zunächst auf den unmittelbaren PC-Eigentümer zu – also vielleicht auf Sie. Und er wird versuchen, Sie in Regress zu nehmen. Wenn Sie dann nicht alles getan haben, um sich vor der Zombifizierung zu schützen, kann man Sie zu Schadensersatz verpflichten.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links