Was ist ein Botnet?

Ein Botnet (kurz für „Robot Network“) ist ein Netzwerk aus Computern, die mit Malware infiziert wurden und unter der Kontrolle eines einzelnen Angreifers stehen. Diesen nennt man Bot-Operator oder auch „Bot-Herder“. Die einzelnen kompromittierten Computer im Botnet werden als Schad-Bots oder Bots bezeichnet. Über das Botnet kann der Angreifer jeden einzelnen Computer zentral steuern und so auf koordinierte Weise schädliche Aktivitäten durchführen, an denen alle oder mehrere Bots gleichzeitig beteiligt sind. Da ein Botnet sehr viele Computer umspannen kann (mitunter Millionen von Bots), können Hacker Angriffskampagnen in einer Größenordnung starten, die mit individueller Malware bisher nicht möglich waren. Erschwerend kommt hinzu, dass Botnets auf unbestimmte Zeit von Remoteangreifern gesteuert werden, die infizierte Computer jederzeit aktualisieren und spontan neues Verhalten einprogrammieren können. Bot-Herder können daher Segmente ihrer Botnets auf dem Schwarzmarkt zu hohen Preisen „vermieten“.

Zu den gängigsten Botnet-Taktiken gehören:

  • E-Mail-Spam: Obwohl E-Mails heute als ein recht altmodischer Angriffsvektor gelten, können Spambotnets unglaublich weitreichend sein. Sie werden hauptsächlich zum Versenden von Spamnachrichten mit versteckter Malware genutzt und jeder Bot kann riesige Mengen verschicken. Zum Beispiel ist das Cutwail-Botnet in der Lage, pro Tag bis zu 74 Milliarden Nachrichten zu versenden. Außerdem werden diese Spamnachrichten verwendet, um andere Computer zu erreichen und das Botnet somit zu erweitern.
  • DDoS-Angriffe: Hier wird der riesige Umfang eines Botnets genutzt, um Netzwerke oder Server mit Anfragen zu überlasten, sodass sie für legitime Benutzer unzugänglich werden. DDoS-Angriffe dienen persönlichen oder politischen Zielen oder werden verwendet, um für die Beendung des Angriffs Geld zu fordern.
  • Finanziell motivierte Angriffe: Hier kommen Botnets zum Einsatz, die speziell für den direkten Diebstahl von Geldern auf Unternehmenskonten oder von Kreditkarteninformationen konzipiert wurden. Finanzielle Botnets wie ZeuS stecken hinter Angriffen, bei denen innerhalb kürzester Zeit gleich mehreren Unternehmen Millionen von Dollar gestohlen wurden.
  • Gezieltes Eindringen: Dabei werden kleinere Botnets programmiert, um ganz spezifische Organisationssysteme mit hohem Wert anzugreifen und sich dort festzusetzen. Von diesem Einstiegspunkt aus können sich Angreifer im Netzwerk ausbreiten. Diese Taktik ist für Organisationen extrem gefährlich, denn sie zielt auf ihre wertvollsten Ressourcen ab, darunter Finanzdaten, Forschungs- und Entwicklungsinformationen, geistiges Eigentum und Kundendaten.

Um ein Botnet zu schaffen, nutzt der Bot-Herder Filesharing, E-Mails, Protokolle für Social-Media-Anwendungen oder auch andere Bots, um mit seinen bestehenden Bots vom Command-and-Control-Server aus ahnungslose Empfänger zu erreichen. Wird die schädliche Datei vom Empfänger geöffnet, meldet der Bot dies an den Command-and-Control-Server, wo der Bot-Herder Befehle an den infizierten Computer geben kann. Im Diagramm unten werden die Beziehungen in einem Botnet dargestellt:

Die Command-and-Control-Infrastruktur eines Botnets: wie es sich ausbreitet

Bots und Botnets eignen sich aus verschiedenen Gründen für längerfristige Eindringmanöver. Sie können vom Bot-Herder jederzeit mit neuen Funktionen aktualisiert werden, um sich seinem bzw. ihrem Ziel anzupassen und um Abwehrmaßnahmen des betroffenen Systems zu umgehen. Bots können zudem über andere infizierte Computer im Botnet kommunizieren, sodass dem Bot-Herder fast grenzenlos viele Kommunikationskanäle offenstehen, um Bots zu modifizieren oder zu aktualisieren. Das zeigt, dass die Infektion der wichtigste Schritt in der Entwicklung eines Botnets ist, da sich Funktionen und Kommunikationsmethoden später ändern und anpassen lassen.

Botnets gehören zur fortgeschrittensten modernen Malware und bereiten Regierungsbehörden, Unternehmen und einzelnen Anwendern weltweit schlaflose Nächte. Denn im Gegensatz zu früheren Malwarearten, die sich unabhängig voneinander ausbreiteten, Computer infizierten und sich dann vermehrten, sind Botnets zentral koordinierte, vernetzte Anwendungen, die Netzwerke ausnutzen, um kontinuierlich an Einfluss und Resilienz zu gewinnen. Da die infizierten Computer per Fernzugriff vom Bot-Herder kontrolliert werden, ist es wahrscheinlicher, dass er oder sie sich bereits direkten Zugang zum Netzwerk verschafft hat, anstatt nur ein schädliches Programm einzuschleusen.