Botnets: Die Klonarmee der Cyberkriminalität

Botnets gehören zu den größten Bedrohungen des 21. Jahrhunderts. Alle Geräte, von Laptops über Router bis hin zu DVR-Geräten und Sicherheitskameras, sind dem Risiko ausgesetzt, als Zahnräder im großen Botnet-Apparat ausgenutzt zu werden. Unternehmen verlieren Kunden und Umsätze in Millionenhöhe aufgrund von Botnets, die Zombies kontrollieren und massive Ransomware- und Phishing-Angriffe unternehmen sowie Distributed Denial of Service(DDoS)-Attacken orchestrieren. Cyren stört diese Klonarmeen der Cyberkriminalität mit seinen E-Mail-Sicherheits- und Websicherheits-Gateway-Diensten.

Einführung in Botnets

Ein Botnet ist eine Serie von, mit dem Internet verbundenen, Computern oder Bots, die alle mit Malware des gleichen Typs oder verschiedener Typen infiziert sind. Dabei ist die Malware für den Botnet-Betrieb spezifisch. Diese Bots haben die Möglichkeit, direkt mit der Steuerzentrale, dem Command-and-Control(C&C)-Server, und manchmal miteinander zu „sprechen“, um die Befehle ihres Botmasters auszuführen.

Botnets kommunizieren auf zwei Hauptwegen

Direkte Command-and-Control (C&C)-Botnets

Der Bot kommuniziert direkt mit einem Server oder einer Gruppe verteilter Server (C&C), um Aufgaben zu erhalten und seinen Status zu melden.

Peer-to-Peer (P2P)-Botnets

Ein dezentralisiertes Bot-Netzwerk als zusätzlicher Schutz vor Abschaltung. P2P-Botnets können einen C&C-Server umfassen, aber auch eine spezifische, zufällige Struktur aufweisen, um das Botnet und dessen Zweck weiter zu verschleiern.

Halten Sie sich mit den neuesten Ressourcen von Cyren auf dem Laufenden

Bedrohungsbericht

„Botnets: Die Klonarmee der Cyberkriminalität“ – Botnets liefern täglich Milliarden von Ransomware-, Phishing- und Spam-E-Mails. In diesem Spezialbericht von Cyren gewinnen Sie Einblicke in das Verhalten von Bots und verstehen das Botnet-Phänomen besser.

HERUNTERLADEN

On-Demand-Webinar

Sehen Sie sich einen Überblick über den Cyren-Bericht „Botnets: Die Klonarmee der Cyberkriminalität“ an, in dem es ganz um das Botnet-Phänomen geht. Informieren Sie sich über die Geschichte und den aktuellen Stand von Botnets und gewinnen Sie Einblicke in das Verhalten von Bots.

ANSEHEN

Blog-Artikel

„Interview mit einem Botnet-Jäger“ – In diesem Interview äußert sich Cyren-Botnet-Experte Geffen Tzur zur Funktionsweise von Botnets und den Erfolgen und Herausforderungen im Kampf gegen Botnet-Cyberkriminalität.

Blog-Artikel

Botnet-Anatomie

Botmaster

Der Botnet-Betreiber

Command-and-Control (C & C)

Der Zentralcomputer, der Befehle an alle Bots ausgibt und von diesen Informationen empfängt.

Bot

Ein mit dem Botnet verbundenes Gerät. Meist ein Computer, Smartphone, Tablet oder Internet der Dinge-Gerät. Empfängt Betriebsanweisungen von einem C&C-Server, direkt vom Botmaster oder manchmal auch von anderen Bots im Netzwerk.

Peer-to-Peer (P2P)

Ein dezentralisiertes Bot-Netzwerk als zusätzlicher Schutz vor Abschaltung. Kann einen C&C-Server umfassen, aber auch ohne einen operieren. In der Regel nach dem Zufallsprinzip strukturiert, um das Botnet und seinen Zweck zu verschleiern.

Zombie

Ein anderer Name für einen Bot. Ein Botnet wird manchmal auch als „Zombie-Armee“ bezeichnet.

Wie ein C&C-Botnet Malware verteilt

1. Ein Botmaster entwickelt ein Botnet, indem er Bot-Malware verteilt, um PCs oder andere Geräte zu infizieren. Er kann auch ein bestehendes Botnet von einem anderen Kriminellen mieten.

2. Die neu geernteten Bots oder „Zombies“ melden sich bei der Befehls- und Steuerzentrale (Command and Control, C&C) des Botnets.

3. Die C&C steuert diese Bots jetzt und gibt ihnen Anweisungen, ausführbare Malware-Dateien zu verteilen, sowie die E-Mail-Vorlagen und Adresslisten potenzieller Opfer.

4. Die infizierten Zombie-Bots empfangen die Befehle und senden jeweils E-Mail-Nachrichten mit der Malware-Fracht an Tausende potenzieller Opfer.

Eine wachsende Bedrohung: Internet der Dinge-Botnets

  • Es ist bekannt, das Kriminelle MILLIONEN von „intelligenten“ Geräten wie DVR-Geräte und Kameras rekrutieren, um ein Botnet zu schaffen.
  • Quellcode von zwei Botnet-Malware-Familien (Mirai und Bashlight) nutzte Anfälligkeiten im Telnet-Fernverbindungsprotokoll des jeweiligen IoT-Geräts.
  • Im Oktober 2016 stand ein IoT-Botnet auf Mirai-Basis hinter dem Angriff, der Dutzende bekannter Websites wie Twitter, CNN und Netflix ausschaltete.
  • Im Oktober 2017 wird das Botnet „Reaper“ entdeckt. Es besteht der Verdacht, dass es 10.000 bis 1 Million IoT-Geräte infiziert hat.
  • IoT-Geräte haben oft nicht einmal grundlegende Sicherheitsprogrammfunktionen. Die Reinigung eines infizierten Geräts kann einen Reboot oder ein Zurücksetzen des Passworts erfordern.

ET nach Hause telefonieren: Legitime Botnets

Obgleich der Begriff „Botnet“ in der Regel mit Cyberkriminalität in Verbindung gebracht wird, gibt es auch völlig legitime und nützliche Botnets, die besser bekannt sind als „verteilte Rechensysteme“ (Distributed Computing Systems). Botnets sind nichts weiter als eine Gruppe mit dem Internet verbundener Geräte, auf denen Software installiert wurde, die ermöglicht, dass diese Geräte kollektiv eine Funktion ausführen, die von jemandem ausgegeben werden, der das System steuert. Durch die Verteilung der Rechenleistung auf viele Plattformen können Aufgaben effizienter und kostengünstiger erledigt werden.

Das bekannteste Projekt im Bereich verteilter Rechensysteme ist wahrscheinlich SETI@home. Es nutzt die ungenutzten CPU- und GPU-Zyklen in einem Netzwerk von Computern von Freiwilligen, um Funksignale zu analysieren, die vom Arecibo Radioteleskop empfangen wurden, um sie auf Anzeichen möglicher außerirdischer Intelligenz zu untersuchen. Andere bekannte Projekte im Bereich verteilter Rechensysteme unterstützen Klimamodellierung und -prognose, Astrophysik, Börsenprognosen, Molekularbiologie und Mathematik.

Das Botnet blockieren.Bericht zur Cyberbedrohung von Cyren

Das 15-Minuten-Botnet

Mit wenig Geld und einer Internetverbindung kann jeder ein Botnet betreiben. Nach einer anfänglichen Investition kann ein krimineller Botmaster die Ausgaben schnell mittels Botnet-Malware-Verbreitung, Spam, Phishing und sogar DDoS-Angriffen amortisieren.

Selbst erstellen
  1. Mit einer einfachen Schlüsselwortsuche ein Online-Botnet-Erstellungs-Kit ausfindig machen.
  2. Das Kit kaufen.
  3. Das Kit selbst oder mithilfe von Online-Anbietern, Tools oder Sponsoren bauen
  4. Den Server einrichten
  5. Payload/Malware zusammenstellen.
  6. Die Malware mit dem funktionstüchtigen Botnet ausliefern
Kaufen
  1. Im Dark Web ein zum Verkauf angebotenes Botnet ausfindig machen.
  2. Ein Botnet mit 100.000 infizierten Computern ist gegen 7500 US-Dollar in Bitcoins erhältlich.
  3. Geschätzte 1 Terabit pro Sekunde DDoS-, Malware- und Spam-Traffic erzeugen.
Leasen
  1. Stressers/Booters-Dienst online ausfindig machen, um DDoS-Fähigkeiten zu erhalten.
  2. Mit einem Software-as-a-Service(SaaS)-Abonnementmodell kostet das durchschnittliche Denial-of-Service-Paket etwa 0,66 US-Dollar pro Tag oder 19,99 US-Dollar im Monat. Deluxe-Pakete kosten 34,99 US-Dollar pro Monat.
  3. Payload mithilfe des gemieteten Botnets ausliefern.

Wussten Sie schon ...

Wozu Botnets verwendet werden:

  • Distributed Denial-of-Service(DDoS)-Angriffe
  • Senden von Spam- und Phishing-E-Mails
  • Online-Abfragen und Social Media-Manipulation
  • Klickbetrug
  • Abhören oder Überwachung (manchmal auch als „Sniffing“ bezeichnet)
  • Betrug mit Veranstaltungstickets

Botnet-Wachstum mittels Malware-Verbreitung

Botnets verteilen Malware vieler verschiedener Art, wie Banking-Malware oder Ransomware. Um Botnets zu schaffen, auszuweiten und zu pflegen, muss Malware ständig auf neuen Computern installiert werden. Die Grafik unten zeigt die riesige Anzahl an Locky-Ransomware-E-Mails, die 2016 von Bots versendet wurden. Cyren hat diese Entwicklung verfolgt. Es wird auch angezeigt, wann das Botnet pausiert hat.

Vom Necurs-Botnet gelernte Lektionen

Bei einer Analyse des Necurs-Botnets stellten Cyren-Forscher fest, dass sich die Bot-Malware in den ersten 24 Stunden selbst installierte, einen C&C-Server fand, ihre Software aktualisierte und Spam sowie Locky-Ransomware verbreitete. Dabei fallen drei Dinge besonders auf:

1. Der Bot ist erstaunlich hartnäckig, wenn es um das Auffinden eines C&C geht, und probiert es mit Tausenden von verschiedenen Optionen.

2 Diese zwei Jahre alte Malware schaffte es letztendlich, einen funktionstüchtigen C&C zu finden. Der C&C aktualisierte die Malware schnell und bestätigte dadurch die Resilienz der zugrunde liegenden Bedrohung.

3. Der Bot war über lange Zeiten hinweg inaktiv, wahrscheinlich aus mehreren Gründen: (a) Eine längere Wartezeit könnte die Erfassung durch automatisierte Sandboxen verhindern, (b) Inaktivität reduziert die Ressourcennutzung auf dem infizierten PC oder (c) der Bot hat eine spezifische Zielgruppe für die Spam/Malware-Kampagnen.

Wussten Sie schon ...

Botnets können die Kommunikation auf folgende Weise tarnen:

  • Tor-basierte Botnets
  • Internet Relay Chat(IRC)-Botnets
  • Domaingenerierungs-Algorithmus (DGA)
  • Verschlüsselung/Komplexe Protokolle
  • Social Media
  • In legitimen Diensten getarnte Kommunikation
  • Steganografie

Wie der Bot blockiert werden kann

Cyren Email Security
  • Ausgangsschutz verhindert, dass durch Botnets infizierte Geräte Malware oder Spam von Ihrer Domain aus versenden können.
  • Blockiert die Lieferung ausgetüftelter E-Mail-Angriffe im großen Maßstab auf globaler Basis und in Echtzeit während der Attacke.
  • Richtlinienbasierte Verschlüsselung von E-Mail-Traffic für Absender und Empfänger.
Cyren Web Security
  • Blockiert ausgehende Botnet-Aufrufe an Command-and-Control-Server (C&C-Server).
  • Überwacht und blockiert kontinuierlich den Zugriff auf bekannte und unbekannte Botnet-Websites, bösartige URLs, Malware, APTs und Zero-Day-Angriffe.
  • Findet verborgene Bedrohungen in verschlüsseltem SSL-Traffic.
  • Blockiert identifizierte Bedrohungen in der gesamten Cloud in Sekundenschnelle.