Was ist ein Botnet?

Ein Botnet oder auch Botnetz ist eine Gruppe von Computern oder Geräten unter der Kontrolle eines Angreifers, der sie dazu nutzt, schädliche Aktivitäten gegen ein Zielobjekt auszuführen. Der Begriff „Botnet“ ist eine Kombination der Wörter „Robot“ und „Network“ und charakterisiert die Art des Cyber-Angriffs, die mit einem Botnet durchgeführt werden kann. Botnets verursachten bisher einige der weitreichendsten Internetausfälle und legten durch DDoS (distributed denial-of-service)-Attacken die Netzwerkinfrastruktur großer Organisationen zeitweise lahm.

Um die Kontrolle über mehrere Geräte zu erlangen, müssen Angreifer Nutzer zunächst dazu bringen, Malware zu installieren. Es gibt mehrere Entwickler, die potentiellen Angreifern Botnet-Malware zur Verfügung stellen. Der Zugang zu solcher Software ist relativ leicht. Auf diese Weise müssen Angreifer, die Schäden und Ausfälle verursachen wollen, nicht ihre eigene Software entwickeln.

Das Mirai-Botnet

Ein Beispiel für eine weit verbreitete Botnet-Malware ist Mirai. Mirai greift Linux-IoT (Internet of Things)-Systeme wie Router, IP-Kameras und Produkte für die Automatisierung von Vorgängen im Haushalt an. Die Botnet-Schadsoftware gibt Angreifern die Möglichkeit, IoT-Systeme basierend auf Linux aus der Ferne zu kontrollieren, um ein Zielobjekt mit Traffic zu überfluten. Dieses Botnet hat bisher schon weitreichende Ausfälle verursacht und dabei bis zu 1 Tbit an Daten pro Sekunde produziert. Die Angreifer nahmen mehrere Unternehmen ins Visier, darunter Krebs on Security, den französischen Web Host OVH und – vielleicht am bekanntesten – Dyn, einen Domain Name Service (DNS)-Provider, dessen Dienste essentiell wichtig sind für die normale Internetkommunikation. Mirai gilt als erstes Botnet seiner Art, jedoch wurden seine Entwickler letztendlich gefasst. Dennoch stehen Angreifern weiterhin viele Varianten von Mirai zur Verfügung, inklusive Okiru, Satori, Masuta und PureMasuta.

Wie ein Gerät Teil eines Botnets wird

Entweder ein Nutzer wird getäuscht und installiert versehentlich Botnet-Malware auf seinem lokalen Gerät, oder die Malware installiert sich durch das Ausnutzen von Sicherheitslücken von selbst. Auf Geräten ohne einen Mechanismus, der automatisch Sicherheitspatches einspielt, laufen mit großer Wahrscheinlichkeit unsichere Firmware-Dienste, was Angreifern eine Angriffsfläche eröffnet. Die Geräte werden so die perfekten Angriffsziele für Botnet-Malware.

Sobald genügend Geräte mit Botnet-Malware infiziert sind, kann ein Angreifer sie jederzeit dazu bringen, ein Zielobjekt mit Traffic zu überfluten. Das Netzwerk an infizierten Geräten wird auch manchmal als „Zombie-Netzwerk“ oder „Zombienet“ bezeichnet, weil die Geräte so lange inaktiv bleiben, bis der Angreifer einen zentralen Befehl an alle gehijackten Geräte schickt. Die Malware ist so programmiert, dass sie still und unbemerkt auf dem Gerät verbleibt, bis sie einen Befehl erhält.

Botnet-Malware bietet oft ein zentrales Dashboard, über das ein Angreifer das Botnet verwalten kann. Dort ist die Zahl an insgesamt infizierten Geräten sichtbar. Über einen Befehl können alle Geräte dazu gebracht werden, gleichzeitig DoS (denial-of-service)-Traffic zu einem Zielserver zu senden. Falls ein Gerät nicht mehr mit dem zentralen Kontrollserver kommunizieren kann, ist es automatisch nicht mehr Teil des Angriffs.

Botnets können für eine Vielzahl an Angriffen genutzt werden. Manche Angriffe haben lediglich das Ziel, noch mehr Geräte zu einem Zombie-Netzwerk hinzuzufügen, während andere durch gezielte DDoS-Attacken Online-Services unterbrechen sollen. Botnets sind besonders gefährlich für das Internet, weil sie kritische Prozesse und Web-Anwendungen, die bei Millionen von Nutzern beliebt sind, lahmlegen können.

Häufig eingesetzte Ziele von Botnet-Angriffen sind unter anderem:

• System-Daten auslesen und ändern: Ein Angreifer kann die Geräte beispielsweise dazu bringen, Dateien an einen zentralen Server zu senden, damit sie dort auf sensible Inhalte gescannt werden. Sensible Dateiensysteme können fest einprogrammierte und damit einsehbare Zugangsdaten enthalten, mit denen sich ein Angreifer Zugang zu einer Infrastruktur verschaffen kann. Auf diese Weise erhalten die Angreifer weitere Daten, die sie gegen die betroffene Organisationen einsetzen können.
• Nutzungsaktivitäten einsehen: Botnet-Software beinhaltet häufig weitere Malware, die in zusätzlichen, mit der eigentlichen Botnet-Attacke nicht in Verbindung stehenden Angriffen zum Einsatz kommt. Zum Beispiel ist es nicht unüblich, dass Botnets sogenannte Keylogger verwenden. Ein Keylogger zeichnet Tastatureingaben auf und schickt diese Information an einen Server, der von einem Angreifer kontrolliert wird. Dadurch kann ein Angreifer beispielsweise Passwörter zu Online-Banking-Accounts erhalten.
• Ein lokales Netzwerk auf weitere Schwachstellen scannen: Ein Angreifer, der eine DDoS-Attacke startet, scannt so viele Geräte wie möglich nach Sicherheitslücken. Manche Geräte befinden sich hinter einer Firewall, weshalb bereits infizierte Geräte das lokale Netzwerk durchsuchen. Sobald sie auf irgendeinem lokalen Gerät beispielsweise veraltete Firmware vorfinden, nutzt die Malware diese Sicherheitslücke aus und fügt das Gerät zum Botnet hinzu.
• Eine DDoS-Attacke durchführen: DDoS ist ein häufiger Angriff, den ein Angreifer mithilfe eines Botnets startet. Der Angreifer braucht dazu mehrere tausend Geräte, denn ansonsten ist der Angriff wenig schlagkräftig. Anbieter wie Cloudflare können DDoS-Attacken stoppen, aber ein Angreifer mit zehntausenden über die ganze Welt verstreuten Zombie-Bots kann immer noch extreme Performance-Abfälle verursachen.
• E-Mail-Spam senden: Mit Zugang zu E-Mail-Accounts auf lokalen Geräten kann ein Angreifer ein Botnet dazu nutzen, E-Mails an bestimmte Empfänger zu schicken. Diese E-Mail enthält häufig Malware, die sich so auf mehrere Geräte ausbreitet. Oder aber der Angreifer nutzt das Botnet für eine Phishing-Kampagne.

Malware auf einem infizierten Gerät bleibt so lange versteckt, bis ein Angreifer einen Befehl sendet. Der Angreifer bei einer DDoS-Attacke heißt „Botmaster“ und der zentrale Server, über den er über alle Geräte verfügt und ihnen Nachrichten sendet, wird „Command and Control Center“ oder kurz „C&C“ genannt. Die Schadsoftware kommuniziert mit dem C&C über eine Vielzahl an Kommunikationsprotokollen, die Firewalls nicht per se als schädlich markieren, sodass die Nachrichten von dieser nicht blockiert werden. Zum Beispiel ist es nicht unüblich, dass Botnet-Malware über das HTTP-Protokoll kommuniziert, weil HTTP-Übertragungen in Netzwerken häufig vorkommen und deshalb von Unternehmensfirewalls nicht blockiert werden.

Weil Botnets so effektiv sind, verdienen Entwickler Geld, indem sie DDoS als Dienstleistung anbieten (auch DDaas, DDoS-as-a-service, genannt). Mehrere Geräte, die alle mit Botnet-Schadsoftware infiziert sind, verbinden sich mit dem gleichen zentralen C&C, und die dahinter stehenden Entwickler bieten Abo-Tarife an, mit denen man sich in das C&C einloggen und eigene Befehle senden kann.

Malware-Entwickler bauen in ihre C&C-Anwendungen häufig Ausfallsicherungen ein. Für den Fall, dass ein C&C vom Netz genommen wird, dient ein anderes C&C als Ausfallsicherung. Indem sie Redundanz in ihrer Malware schaffen, sichern sich Angreifer dagegen ab, alle infizierten Geräte zu verlieren, sollte ein Hosting-Service ihren Account sperren.

Eine andere Strategie ist das Peer-to-Peer (P2P)-Modell, bei dem jedes infizierte Gerät gleichzeitig als C&C fungieren kann. Wenn ein Computer im P2P-Netzwerk ausfällt, kann jeder andere Computer einspringen und Befehle an die anderen senden. P2P-Botnets lassen sich nur sehr schwer vom Netz nehmen, deshalb sind sie die bevorzugte Kommunikationsmethode für infizierte Geräte.

Nachdem Befehle zu den infizierten Geräten gesendet wurden, starten diese einen Angriff oder vollziehen eine andere Handlung, die dem Befehl entspricht. Nutzer, die nicht wissen, dass ihr Gerät ein Teil eines Botnets ist, spüren unmittelbar eine Performance-Verschlechterung in ihrem Netzwerk, während sie beispielsweise im Internet surfen. Ein Computer läuft mitunter viel langsamer, während er unter der Kontrolle eines C&C steht, oder andere Nutzer im Netzwerk erleben plötzliche Geschwindigkeitsveränderungen ihrer Verbindung. Nachdem der Angriff vorbei ist, kehrt die Leistung wieder auf das normale Niveau zurück und die Malware verbleibt unbemerkt im System.

Da Botnet-Infektionen meistens mit veralteter Firmware zu tun haben, müssen Nutzer ihre IoT-Geräte immer auf dem neuesten Stand halten. Das trifft auch auf Hardware zu. Veraltete Software mit Sicherheitslücken spielt häufig eine Rolle in Cyber-Angriffen, weil Nutzer ihre Geräte zum Teil monatelang nicht updaten. Router, IoTs in der Haushaltsautomatisierung, Kameras und andere Hardware werden häufig übersehen und fälschlich für sicher gehalten. Damit sind sie ideale Ziele für Botnet-Malware.

Viele moderne IoT-Hardware-Hersteller haben Prozesse etabliert, mit denen sie Firmware automatisch updaten. Ältere Geräte jedoch sollten manuell auf Firmware-Updates überprüft werden. Sie können nach verfügbaren Updates für Ihr Gerätemodell suchen, indem Sie sich an Ihren IoT-Gerätehersteller wenden.

Wenn Sie den Verdacht haben, dass Ihr Computer mit Botnet-Malware infiziert ist, scannen Sie den Computer am besten mithilfe von Anti-Malware-Software. Gute Anti-Malware-Software erkennt Malware, bevor sie auf Ihrem Computer installiert wird. Neuartige Malware bleibt jedoch oftmals unbemerkt und wird installiert, weil sie zuvor noch nie „in freier Wildbahn“ vorgekommen ist. Deshalb muss auch die Anti-Malware-Software auf dem neuesten Stand gehalten werden, damit sie neue Malware erkennt. Es wird dennoch immer vorkommen, dass neue Malware die Erkennung durch Schutzsysteme umgeht, weil Botnet-Entwickler ihren Code immer wieder ändern und neue Varianten erstellen.