Botnet

aus Wikipedia, der freien Enzyklopädie

Unter einem Botnet oder Botnetz versteht man eine Gruppe von Software-Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz-Operator (auch Botmaster) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache zutreffend als Command and Control-Server bezeichnet; Kurzform: C&C.

Inhaltsverzeichnis 1 Anwendungen 2 Administration 3 Verbreitung der Bots (Spreading) 4 Siehe auch 5 Weblinks

[Bearbeiten] Anwendungen

Ein Bot stellt dem Betreiber eines Botnetzes je nach Funktionsumfang verschiedene Dienste zur Verfügung. Derweil mehren sich multifunktional einsetzbare Botnets. Der Botnetz-Master kann so flexibel auf andere Einsatzmöglichkeiten umschwenken. Grundsätzlich lassen sich die Verwendungsmöglichkeiten eines Bot-Netzwerks wie folgt unterscheiden: Angriffe zum Nachteil eines externen Opfersystems und Botnetz-interne Angriffe. Zum Erstbenannten zählen unter anderem DDoS-Attacken oder DRDoS-Attacken. Da der Botnetz-Master in aller Regel auf die sensiblen Daten seiner Bot-infizierten Systeme zugreifen kann, offerieren sich nahezu alle bekannten e-crime Phänomene wie Phishing, Spam-Mails, Sniffer oder Ransomware. Hieraus wird bereits ersichtlich, dass Bot-Netzwerke eine hervorragende Infrastruktur für die herkömmliche Internetkriminalität liefern. Dies begründet auch ihr rasantes Wachstum.

• Zugriff auf lokal gespeicherte Daten.

Die privaten Daten der mit Bots infizierten Rechnern (Zombies) sind lukrativ. Die meisten Bots bieten Möglichkeiten, auf lokal gespeicherte Zugangsdaten verschiedener Anwendung (z. B. IE oder ICQ) zuzugreifen. Auf den Diebstahl von Daten spezialisierte Bots verfügen auch über Funktionen um Daten aus Webformularen zu lesen und können dadurch Informationen ausspionieren, die in SSL-gesicherten Webseiten eingegeben wurden, darunter beispielsweise auch Passwörter oder Kreditkartennummern. Viele IRC-Bots können den Netzwerkverkehr des Rechners loggen.

• Proxy

Proxies bieten die Möglichkeit, eine Verbindung zu einem dritten Computer über den Zombie herzustellen und können damit die eigentliche Ursprungs-Adresse verbergen. Aus Sicht des Ziel-Computers kommt die Verbindung vom Proxy-Host.

• Spam-Versand

Einige Bots sind auf das Versenden von großen Mengen an E-Mail programmiert. Sie verfügen z. B. über Funktionen zum Laden von Mail-Templates, Senden von E-Mails an generierte oder von einem Server abgefragte Adressen und Abfragen von Listings der Zombie-IP in DNSBLs.

• Ausführen von DDoS-Attacken

Viele Bots verfügen über die Möglichkeit, DoS-Attacken auszuführen. Meistens stehen dabei verschiedene Methoden wie z. B. SYN-Flood oder HTTP-Request-Flood. Werden diese Attacken von allen Bots im Netz mit der gesamten, ihnen zur Verfügung stehenden Netzwerk-Bandbreite gleichzeitig ausgeführt, so werden auf dem Ziel-Rechner der Attacke Netzwerk-Dienste außer Betrieb gesetzt oder die gesamte Bandbreite seiner Anbindung für Daten von den Zombies benötigt.

• Nachladen und Ausführen weiterer Programme bzw. Aktualisierung des Bots
• Einsatz als Ransomware
• Verbreitung von Phishing-Mails
• Einsatz von Sniffern, Password-Grabbern
• Zwischenhost für die Verschleierung weiterer manueller Angriffe auf andere Rechner
• Speichermedium für die Verbreitung illegalen Contents
• u. v. w.

[Bearbeiten] Administration

Die weitaus meisten Bots verfügen über eine Funktionalität mit der der Betreiber eines Botnetzes mit ihnen kommunizieren kann. Dies umfasst den Abruf von Daten von einem Bot sowie das Verteilen von neuen Anweisungen. Bei der Kommunikation über einen IRC-Channel stellen die Bots eine Client-Verbindung zu einem IRC-Server her. Befehle werden ohne Verzögerung von den Bots ausgeführt und der Betreiber bekommt sofort eine Rückmeldung der Bots. Im Vergleich dazu erfolgt die Kommunikation über HTTP mit einer Webanwendung ohne persistente Verbindung, die Bots übertragen Daten und fragen nach neuen Befehlen in Intervallen. HTTP-Botnetze erfreuen sich zunehmender Beliebtheit, da das Aufsetzen der Administrations-Infrastruktur einfacher ist im Vergleich zu einem IRC-Server und die Kommunikation der Bots mit dieser weniger auffällt. Weitere genutzte Kommunikationsmethoden sind P2P-Protokolle sowie durch die Programmierer selbst entwickelte Netzwerkprotokolle.

[Bearbeiten] Verbreitung der Bots (Spreading)

Das Erweitern eines Botnetzes erfolgt durch Installieren der Bots auf einem noch nicht angebundenen Computer. Um möglichst viele Ressourcen zur Verfügung zu haben, versuchen die Betreiber, eine hohe Anzahl von Rechnern unter ihre Kontrolle zu bekommen. Die Installation erfolgt meistens für den Anwender unsichtbar. Während des Betriebes eines Botnetzes kommen immer wieder neue Rechner hinzu und es scheiden solche aus, bei denen der Bot entfernt wurde.

• Spam

Das Installations-Programm des Bots wird per E-Mail an viele Adressen geschickt und der Empfänger wird dazu aufgefordert das Programm auf seinem Computer auszuführen.

• Downloads

Der Bot wird gebundelt mit einer Applikation, die der Anwender freiwillig herunterlädt und auf seinem Computer ausführt. Häufig handelt es sich dabei um Programme wie Cracks oder andere fragwürdige Software. Andererseits kann es sich auch um einen "Trojaner" handeln, also um ein Programm, das eine Eigenschaft vorspiegelt, die es entweder gar nicht hat, oder die nur Beiwerk der eigentlichen (dem Benutzer unbekannten) Funktion ist.

• Exploits

Die Installation des Bots erfolgt unter Ausnutzung eines Software-Fehlers im Betriebssystem oder in einer Anwendung auf dem Computer. Bots, die über Exploits installiert werden, verfügen häufig über eine Funktion zur automatischen Weiterverbreitung (Computerwurm). Manche Exploits benötigen die Interaktion eines Anwenders, wie z. B. die Installation des Bots durch Schadcode in einer besuchten Webseite (Drive-By-Infection). Es kommt vor, dass populäre legale Websites gecrackt und mit Schadcode versehen werden, oder dass der Exploit über einen eingeblendeten Werbebanner von einem anderen Server geladen wird.

• Manuelle Installation

Der Bot wird nach einem Einbruch in einen Computer manuell auf diesem installiert.

[Bearbeiten] Siehe auch

• Software-Agent
• Zombie (Internet)
• Srizbi

[Bearbeiten] Weblinks

• Heise.de: Trojaner 2.0 nutzen Web 2.0
• Heise.de: Vint Cerf - Ein Viertel der Internet-PCs ist Mitglied eines Bot-Netzes
• RUS-CERT: Was sind Bots und Botnetze?
• GRC.COM: The Strange Tale of the Denial of Service Attacks Against GRC.COM (englisch)
• Heise.de: Neue Gefahr durch Bot-Netze mit P2P-Strukturen
• q-vadis.net: The Storm Worm (deutsche Übersetzung des Essays von Bruce Schneier)
• Analyse des inneren Aufbaus eines Botnets(englisch)
• Peer-to-Peer Botnets: Overview and Case Study; weiterhin Taxonomie der Verwendungsmöglichkeiten (englisch)