Botnetze

Botnetze
Ein Botnetz ist ein hierarchisch aufgebautes Rechnernetzwerk mit einem Master-Server an der Spitze. Von ihm aus werden Befehle und Anweisungen über Command&Control-Server an Bots bzw. Zombies verteilt. Das ganze System bezeichnet man als Botnetz. Es eignet sich für die unterschiedlichsten Dinge. Zum Beispiel für DDoS-Attacken oder massenhaften Spam-Versand.
Der Botnetz-Betreiber ist in der Regel nicht der Eigentümer der Zombies oder Server. Er hat sie nur gehackt und dort seine Software platziert. Auf diese Weise bleibt er als Person oder Organisation im Hintergrund.

Master-Server

Der Master-Server steht irgendwo auf der Welt. Er steuert die Command&Control-Server aus dem Hintergrund. Von hier aus werden alle Aktionen im Botnetz ausgelöst.

Command&Control-Server

Command&Control-Server stehen irgendwo auf der Welt. Häufig sind sie auch gekaperte Rechner, die über eine gute Internet-Anbindung verfügen. Von ihnen holen sich die Bots bzw. Zombies ihre Anweisungen oder laden sich weitere Schadsoftware herunter. Command&Control-Server liefern auch Trojaner aus und kontrollieren sie.
Sichere Standorte für Command&Control-Server sind Südkorea, China und Brasilien. Dort interessiert sich niemand über die Beschwerden gegen Botnetz-Betreiber.

Bots und Zombies

Bot ist eine Abkürzung und kommt von Robot. Die Bezeichnung Bot steht für einen Rechner, auf dem ein Programm ohne Einwilligung des Besitzers vollständig automatisch läuft. Manchmal bezeichnet man Bots auch als Zombies, weil sie unkontrolliert vom eigentlichen Besitzer agieren.

Bots bzw. Zombies befinden sich überall auf der Welt. Es handelt sich dabei um Computer auf denen ein Trojaner eingeschmuggelt wurde und der im Hintergrund Spam-Mails verschickt oder DDoS-Angriffe ausführt. Üblicherweise sind Bots in der Lage, in weiten Teile autonom zu arbeiten. Ihre Anweisungen holen sich die Bots von den Command&Control-Servern. Die Kommunikation mit diesem Steuerserver (Command&Control-Server) ist verschleiert.

Weil es aufwendig ist, einen Trojaner auf einem Rechner einzuschleusen und das "Inventar" eines Botnetzes sehr wertvoll für den Betreiber ist, sind in vielen Bots Fallback- bzw. Backup-Maßnahmen implementiert. Das bedeutet, verliert ein Bot den Kontakt zu einem seiner fest einkodierten Command&Control-Server, beginnt er ein Notfallprogramm, bei dem er anhand eines vorgegebenen Algorithmus neue Domainnamen generiert und diese versucht, zu kontaktieren. Der Botnetz-Betreiber registriert anhand des Algorithmus die Domainnamen und sorgt für die Erreichbarkeit eines Servers.

Target

Der Target ist das Angriffsziel irgendwo auf der Welt. Beispielsweise für eine DDoS-Attacke. Voraussetzung für eine DDoS-Attacke ist, dass sehr viele Bots bzw. Zombies online sind.

Anwendungen von Botnetzen

In der Regel werden Botnetze von modernen Kriminellen verwendet, um Geld zu verdienen. Ist der Betreiber an kriminellen Machenschaften nicht interessiert, dann vermietet er sein Botnetz.

Maßnahmen gegen Botnetz-Betreiber

Die infizierten PCs (Zombies oder Bots) verbinden sich mit einem zentralen IRC-Server. Von dort bekommen sie Anweisungen. Das kann das Versenden von Spam-Mails sein, sich an einer DDoS-Attacke zu beteiligen oder eine neue Version nachzuladen. Durch das Sperren oder Filtern von IRC-Kommunikation ließen sich Botnetze ausschalten. Doch genau deshalb arbeiten Botnetz-Betreiber bevorzugt mit HTTP. HTTP-Aufrufe lassen sich nicht so ohne Weiteres aufspüren und filtern. Denn HTTP-Aufrufe sehen aus, wie Aufrufe normaler Webseiten.
Um dem Treiben Einhalt zu gebieten ist die Zusammenarbeit von Malware-Experten, Strafverfolgern und Providern auf internationaler Ebene erforderlich. Außerdem sind die Internetanwender in der Pflicht, zumindest die wichtigsten Sicherheitsregeln zu befolgen.

Fast-Flux-Netz

Bot-Netze lassen sich nur dann stilllegen, wenn man den zentralen Master-Server oder die Command&Control-Server abschaltet. Um das zu erschweren arbeiten die Botnetz-Betreiber mit Arbeitsteilung und Dezentralisierung. So kommunizieren die infizierten PCs nicht direkt mit dem Command&Control-Server, sondern mit einer Zwischenstation (Proxy). Davon gibt es sehr viele. Sie bekommen aus dem Hintergrund vom Command&Control-Server ihre Anweisungen. Sucht ein Zombie seinen Master-Server, dann kontaktiert er eine Domain und bekommt mehrere IP-Adressen zurückgeliefert. Die geht er so lange durch, bis er einen Kontakt herstellen kann. Ist zwischenzeitlich ein Server abgeschaltet, steht bestimmt noch ein anderer zu Verfügung. So verteilt sich auch die Anzahl der Anfragen pro Server. Die IP-Adressen gehören jedoch nicht dem Botnetz-Betreiber, sondern ebenso infizierten PCs. Die DNS-Einträge ändern sich ständig. Im Prinzip sind daran mehrere hundert oder tausend Stationen beteiligt. In diesem Szenario bleibt das außer Betrieb setzen der Proxies ohne Wirkung.