Läuft der eigene Computer plötzlich langsamer, kann es gut und gerne sein, dass Ihr Rechner Teil eines sogenannten Botnets geworden ist. Ein Botnet ist ein Zusammenschluss von vielen PC’s zu einem großen automatisierten Computerschadprogramm. Die Computer innerhalb eines Botnet werden Bots genannt. Von diesen Bots stehen dem Botnet die lokalen Ressourcen und Daten zur Verfügung, ohne das der Eigentümer davon weiß oder sein Einverständnis dazu gegeben hat. Aus diesem Grund wird der Rechner auch plötzlich langsamer, da ein Teil des Hauptspeichers vom Botnet belegt wird und eine erhöhte Swapping-Aktivität sichtbar wird.
Ist Ihr Computer einmal infiziert, kann er als Bot nach belieben vom sogenannten Botmaster (Angreifer) für seine Zwecke missbraucht werde. Häufig werden die Rechner eines Botnets zum verschicken von E-Mail-Spam benutzt. Es sind aber auch andere cyberkriminelle Aktivitäten denkbar. Die größte Gefahr an einem Botnet ist wir Sie persönlich also, dass von Ihrem Rechner kriminelle Handlungen ausgeführt werden, für die Sie im schlimmsten Fall vollumfänglich haften müssen. Damit Ihnen das nicht passiert, stellen wir Ihnen das Botnet im Folgenden näher vor und zeigen Ihnen, wie ein solches Netzwerk funktioniert.
Was ist ein Botnet?
Ein Botnet oder Botnetz, ist aus technischer Sicht ein Zusammenschluss von unabhängigen Computern, die sich als ein einziges System darstellen. Diese Cloud nutzt einen Computer ohne Zustimmung des Inhabers. Man kann ein Botnet auch als einen Zusammenschluss automatisierter Computerschadprogramme bezeichnen, da die Rechner mit einer Malware des Typs Backdoor verseucht und darüber als Bot in das Botnet eingebunden werden. Durch dieses Vorgehen entstehen große Netzwerke und bildlich kann man ein Botnet als ein riesiges Spinnennetz, das unzählige Computer miteinander verbindet, ansehen.
PCs werden unbemerkt infiziert und von Fremden (den Botmastern) ferngesteuert. Daher werden sie umgangssprachlich auch Zombies oder Zombie-Computer genannt. Im Hintergrund der Computer agiert das Botnet. Es arbeitet nur, wenn der Computer hochgefahren und mit dem Internet verbunden ist. Die Besitzer der PCs sind dennoch ahnungslos und bemerken die Arbeit eines Bots nicht, da es das oberste Ziel des Botnets ist, nicht entdeckt zu werden und so kann der Botmaster die fremden Computer für seine eigenen Zwecke nutzen.
Eigenschaften eines Botnets
Eine wichtige Eigenschaft eines Botnets ist zum einen die Verteilung von Ressourcen. Da der Benutzer des Rechners nichts vom Botnet mitbekommen soll, muss sich die Schadanwendung unauffällig verhalten. Daher muss der Botnet-Client mit idle-Priorität laufen, um den PC des Benutzers nicht zu verlangsamen. Desweiteren darf ein Bot maximal 15 Prozent des freien Hauptspeichers belegen, damit der Wirt keinen Verdacht schöpft. Wenn zu viel Speicher belegt würde, kann eine erhöhte Swapping-Aktivität der Festplatte auftreten, die den Botnet verraten kann.
Zum anderen hat das Botnet die Aufgabe, die Client-Anwendung zu kontrollieren. Wenn ein Botnet feststellt, dass der Client nicht einwandfrei läuft und es zu Komplikationen kommt, wird das Schadprogramm beendet. Eine dritte grundlegende Eigenschaft des Botnets ist, dass der Botnet-Client Informationen über die Hard- und Software des Wirtes sammelt. Sollte eine Schadsoftware ein bestimmtes Betriebssystem benötigen, kann der Client berichten, ob dies gegeben ist.
Auch Informationen über die Geschwindigkeit der Internetanbindung und die Zeit am Tag, die der Rechner in Betrieb ist, werden vom Botnet gesammelt. So kann berechnet werden, wie viele Spammails mit dem anvisierten Computer verschickt werden können und ob der Rechner effektiv für die eigenen Zwecke und Ziele ist.
In der obigen Abbildung wird vereinfacht die Funktionsweise eines Botnetzwerkes beschrieben. Hier sieht man im ersten Schritt, dass der Botmaster eine Malware an verschiedene Computer aussendet und darüber der Botnet-Client auf die einzelnen Bots gelangt. Ist der Bot auf dem infizierten Rechner angekommen, stellt dieser eine Verbindung zum Command&Control Server her. Dieser Server ist meistens ein IRC Server, kann aber auch ein ganz normaler Webserver sein (Mehr zu den verschiedenen Server und Botnet-Typen erfahren Sie im Abschnitt „Die verschiedenen Botnet-Typen“).Nachdem der Bot eingerichtet wurde und erfolgreich Kontakt zum Botmaster aufgenommen hat, kann dieser die Rechenleistung des Botnet an interessierte „Kunden“ verkaufen. Handelt es sich bei dem „Kunden“ zum Beispiel um einen Spammer, nimmt der Botmaster über den IRC Server Kontakt zu seinen Bots auf und befehlt diesen E-Mail-Spam zuverschicken.
Neben dem E-Mail-Spam gibt es aber noch viele weitere Anwendungsmöglichkeiten, wofür ein Botnet eingesetzt werden kann. Diese verschiedenen Anwendungsmöglichkeiten stellen wir Ihnen im folgenden vor.
Vielfältige Anwendungsmöglichkeiten von Botnetzwerken
Botnetzwerke werden für verschiedene Zecke genutzt. Eine legale Nutzung eines Botnetzes bietet die US-amerikanische Universität Berkeley an. Sie hat einen Code für einen gutartigen Botnet geschrieben. In diesen können Computernutzer freiwillig beitreten und die IT-Kosten für zahlreiche Forschungsprojekte reduzieren. Eine weitere legale und positive Verwendung findet ein Botnet, mit dessen Hilfe Forscher nach intelligentem Leben im Weltraum suchen.
Ein Botnet kann also auch durchaus nützliche Anwendungszwecke haben. Allerdings ist die Anzahl der illegal genutzten Botnets viel höher. Die infizierten Computer werden am häufigsten zur Verteilung von Spam genutzt. Dies ist die am weitesten verbreitete Art der Nutzung von Botnetzen. 80 Prozent aller Spam-Mails gelangen durch infizierte Computer in den Umlauf. Mittels fremdgesteuerten PCs werden Phishing-Mails verschickt ohne, dass der Besitzer des Computers etwas davon mitbekommt. Der verschickte Spam muss allerdings nicht von den Betreibern des Botnetzwerkes kommen. Denn die Netzwerke werden an Spammer vermietet. Das ist eine lukrative Einnahmequelle für die Betreiber der Botnetzwerke, aber auch für die Spammer. Nicht selten verdienen diese bis zu 100.000 US-Dollar pro Jahr mit ihren Mails.
Die Botnetzwerke können aber auch durch ihren Verkauf illegales Geld einbringen oder es dient als Speicherplatz für kriminelle Aktivitäten. Weiterhin können Botnets auch die Beschaffung von sensiblen Daten organisieren. Beispielsweise können die gespeicherten E-Mail-Adressen eines Computers gestohlen werden. Dabei nutzen die Täter diese Daten selber oder verkaufen sie teuer im Darknet.
Darüber hinaus kann ein Botnet die Ursprungsadresse eines Täters verbergen. Denn wenn durch ein Botnet eine Verbindung von einem infizierten PC zu einem dritten Rechner hergestellt wird, ist die Ursprungsadresse verschleiert. Durch diesen anonymen Zugang zum Internet, können Verbrechen ohne Enttarnung begangen werden. Beispielsweise können Webseiten gehackt oder gestohlenes Geld transferiert werden. Die Methode, einen PC zwischenzuschalten wird auch genutzt, um andere Computer mit einer der vielen Formen von Malware zu infizieren.
Die Möglichkeiten zur kriminellen Nutzung eines Botnets sind somit vielfältig und neben dem Versand von E-Mail-Spam, wird das Botnet wohl am zweithäufigste für DDoS-Attacken genutzt. Dabei handelt es sich um Angriffe, die die Verfügbarkeit eines Servers, mit einer Vielzahl von falschen Anfragen außer Kraft setzen können. Die übermäßig vielen Anfragen führen nämlich zu einer Überlastung des Servers und der Betreiber bekommt keinen Zugriff mehr auf diesen. Genau in diesem Moment treten die Bot-Betreiber an die Betroffenen heran und fordern Geld, damit sie mit den Attacken aufhören. Gerade die Server von Unternehmen, die auf ein einwandfreies Internet angewiesen sind, sind von dieser Methode betroffen. Kommt es zu einem Stillstand während der Arbeit oder wird gar die gesamte Produktion lahm gelegt, führt das zu Verlusten für das Unternehmen. Daher zahlen Firmen oftmals das Geld an die Erpresser.
DDoS-Attacken werden nicht nur gegen Privatpersonen und Unternehmens-Server ausgeführt. Auch Server von stattlichen Institutionen und Regierungen sind Opfer von Cyper-Erpressung. Diese Art von Attacken kann im schlimmsten Fall zu Konflikten einzelner Länder führen, wenn der Angriff über die Server eines anderen Landes läuft.
Die Verschiedenen Botnet-Typen
Botnetzwerke werden in verschiedene Typen eingeteilt. Dabei können Botnetze nach der Art der Steuerung durch den Botmaster unterschieden werden oder anhand einer Klassifizierung ihrer Steuerprotokolle.
Einteilung nach der Art der Steuerung
Bei der Klassifizierung von Botnets nach der Art der Steuerung sind zwei Botnetz-Typen bekannt. Einerseits gibt es Botnets mit einem Steuerungszentrum. Dieses Steuerzentrum oder auch Command&Control Centre genannt, verbindet alle Zombie-Rechner. Es registriert auch neue Bots in der zentrumseigenen Datenbank, überwacht sie und schickt ihnen die Befehle des Botmasters. Im Steuerungszentrum sind alle infizierten PCs sichtbar. Ein Zugreifen auf das zentrale Zombie-Rechner-Netz ist nur durch die Kommandozentrale möglich. Sie sind der am weitesten verbreitete Typ von Botnetzwerken. Das liegt daran, dass sie sich einfach entwickeln und verwalten lassen. Jedoch sind sie auch schnell von außen neutralisierbar.
Andererseits gibt es dezentralisierte Botnetzwerke (P2P), die nicht durch ein Steuerungszentrum verbunden sind. Bei den P2P-Netzwerken sind nur einige Zombie-Rechnern direkt miteinander verbunden. So verfügt jeder Bot nur über ein paar Adressen von infizierten PCs. Und zwar die, mit denen er in Verbindung steht. Im Gegensatz zum Botnetzwerk mit einem Steuerungszentrum, muss im P2P-Netz der Betreiber lediglich auf einen der betroffenen Rechner zugreifen, um das dezentralisierte Netzwerk zu steuern. Der Aufbau dieses Botnetz-Typen ist aufwändig und schwierig von außen zu deaktivieren.
Klassifizierung nach dem verwendeten Steuerprotokoll
Ein Botnet kann auch nach seinem verwendeten Netzprotokoll klassifiziert werden. Denn die Befehle der Botmaster erreichen nur alle betroffenen PCs, wenn eine Verbindung zwischen diesen und dem Steuer-Rechner besteht. Der Datenverkehr, der über Netzwerke läuft, folgt Protokollen. Diese Protokolle regeln die Kommunikation zwischen Botmaster und Botnet.
Innerhalb dieser Einteilungsform gibt es die Botnets, die IRC-orientierte Netzwerk-Protokolle zur Kommunikation nutzen. Hier basiert die Steuerung des Bots auf dem Internet Relay Chat, kurz IRC. Jeder Zombie-Rechner trägt die Adresse eines IRC-Servers in sich und stellt eine Verbindung zu ihm her. Anschließend bekommt der infizierte Computer die Befehle des Botmaster über einen IRC-Kanal vermittelt.
Ähnlich gestaltet sich das IM-orientierte Netzwerk-Protokoll. Ein Unterschied ist, dass der Datentransfer über Messaging-Dienste abläuft. Dabei muss jeder Zombie-PC einen eigene IM-Account (Instant-Messaging-Account) besitzen. Auch jeder Bot muss über eigene Zugangsdaten verfügen. Diese Einschränkungen führen dazu, dass die IM-orientierten Netzwerk-Protokolle zu den am wenigsten verbreiteten Botnetz-Typen zählen.
Der Web-orientierte Botnetz-Typ wird über das Internet gesteuert. Er ist ein relativ neuer Typ und verbindet sich mit einem ausgewählten Server. Er erhält dessen Befehle und sendet ihm Daten. Dieser sich schnell entwickelte Typ ist in kürzester Zeit eingerichtet und kann sich an vielen Webserver bedienen.
Desweiteren gibt es auch Botnetz-Typen, die nur auf dem TCP/IP-Stack basieren. Ihre Kommunikation läuft über ein eigenes Protokoll. Diese sind allgemeine Protokolle wie TCP, ICMP und UDP.
Die Kommunikation mit den Botmastern
Ein Botnet-Client kann nicht mit einem Command-and-Control-Server unter einer festen Adresse kommunizieren. Hat sich ein Bot-Client erfolgreich in einem Rechner eingenistet, kann er zum Beispiel durch wechselnde Domainnamen Kontakt zu seinem Schöpfer aufnehmen. Mit scheinbar zufällig generierten Namen, wie exxkvcz.cc, macht der Bot auf sich aufmerksam. Die Betreiber bemerken die Domain und registrieren sie unter falschem Namen. Sobald ein betroffener PCs Kontakt zum Botmaster aufnimmt, bekommt er neue Befehle und neue Schadsoftware zugeteilt.
Eine weitere Möglichkeit, wie ein Botnet mit seinem Betreiber kommunizieren kann ist, durch die Weiterleitung über einen bestimmten Port. Steht der infizierte Computer direkt im Internet oder ist über einen Router angebunden (er muss UPnP oder NAT-PMP beherrschen), dann kann der Botnet-Client eine Verbindung zu einem Port herstellen, über den er Befehle vermitteln kann.
Die Verbreitung des Bots
Einen Rechner mit einem Botnet zu infizieren geschieht schnell. Wenn ein User auf eine infizierte Webseite gelangt und nicht die Regeln für einen guten Virenschutz befolgt, bekommt er unbemerkt den Schadcode angehangen. Einmal mit dem Botnet-Client angesteckt, ist es nicht so leicht diesen wieder los zu werden.
Auch über eine E-Mail kann sich der Botnet-Client einschleichen. Wenn eine E-Mail im Anhang das Installations-Programm des Bots enthält oder die Mail mit einem Link auf eine infizierte Webseite weiterleitet. Während der Installation von unschädlichen Programmen kann auch ein Trojaner mit auf den Rechner gelangen. Dieser ermöglicht dem Botnet den Zugriff auf das System. Ein laufendes Botnetzwerk erhält so immer neue Computer und kann seine Reichweite vergrößern.
Ist der Botnet-Client einmal auf dem Computer installiert, agiert dieser von alleine eher selten bis gar nicht. Er wartet vielmehr auf die Befehle vom Command-and-Control-Server. Wichtige Aufgabe des Bots ist es, auf den infizierten Servern weitere Software nachzuladen. Mit den neuen Programmen können weitere Aktivitäten unbemerkt im Hintergrund ablaufen.
Fazit
Botnetzwerke können große Schäden anrichten und die Verbreitung ist häufiger als Sie jetzt vielleicht glauben mögen. Hochrechnungen des Anti-Botnet-Beratungszentrum des Internetverbandes Eco zufolge sind in Deutschland rund 40 Prozent aller Computer bereits Teil eines Botnet oder könnten problemlos in ein solches eingebunden werden.
Schaut man sich die Anwendungsmöglichkeiten eines Botnet an und welche Auswirkung die Aktivitäten der Betreiber haben können, sollte das oberste Ziel eines jeden Computerbesitzers sein, sich vor dieser Bedrohung zu schützen. Erste Schritte für einen guten Schutz gegen diese Form der Cyberkriminalität ist die Verwendung eines guten Antivirenprogramms und einer funktionsfähigen Firewall. Schon alleine die Firewall kann ware wunder wirken, regelt sie doch die ein- und ausgehenden Internetverbindung und informiert Sie als Anwender über Programme, die eine Verbindung zum Internet aufbauen wollen. Durch diese Benachrichtigung könnten Sie z.B. eine gerade installierte Schadsoftware erkennen, die Kontakt mit ihrem Betreiber aufnehmen möchte.
Laura meint
Toller Artikel. Sehr schön und wirklich verständlich geschrieben. Hatte überhaupt keine Ahnung von dem Thema und jetzt einen guten allgemeinen Überblick, was ein Botnet ist und wie es funktioniert und kann mich mit dieser Basis weiter informieren. Danke und ein Lob an die Autoren!
Enrico Lauterschlag meint
Hallo Laura,
vielen Dank für dein Lob 🙂
Viele Grüße
Enrico