Was ist ein DDoS-Botnetz?

Botnetz-Angriffe sind für die bedeutendsten DDoS-Angriffe aller Zeiten verantwortlich. Erfahren Sie, wie Geräte mit Botnetz-Malware infiziert werden, wie Bots ferngesteuert werden und wie Sie ein Netzwerk vor einem Botnetz-Angriff schützen können.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • DDoS-Angriff definieren
  • Erläutern Sie, warum Botnetze erstellt werden
  • Verstehen Sie, wie Botnetze von Angreifern ferngesteuert werden
  • Überlegungen zu Strategien zur Deaktivierung eines Botnetzes und zur Verhinderung von Infizierung

Link zum Artikel kopieren

Was ist ein Botnetz?

Ein Botnetz bezieht sich auf eine Gruppe von Computern, die mit Malware infiziert wurden und unter die Kontrolle eines bösartigen Akteurs geraten sind. Der Begriff Botnetz ist ein Portmanteau aus den Wörtern Roboter und Netzwerk und jedes infizierte Gerät wird als Bot bezeichnet. Botnetze können so eingerichtet werden, dass sie illegale oder böswillige Aufgaben ausführen, zum Beispiel Spam versenden, Daten stehlen, Ransomware einschleusen sowie betrügerische Klicks auf Werbeanzeigen oder DDoS-Angriffe (Distributed Denial-of-Service) durchführen.

Während einige Malware, z. B. Ransomware, direkte Auswirkungen auf den Besitzer des Geräts hat, kann es bei DDoS-Botnetz-Malware verschiedene Sichtbarkeitsstufen geben; manche Malware ist so konzipiert, dass sie die vollständige Kontrolle über ein Gerät übernimmt, während andere Malware still im Hintergrund läuft und auf Anweisungen des Angreifers oder „Bot-Herders“ wartet.

Self-propagating botnets recruit additional bots through a variety of different channels. Pathways for infection include the exploitation of website vulnerabilities, Trojan horse malware, and cracking weak authentication to gain remote access. Once access has been obtained, all of these methods for infection result in the installation of malware on the target device, allowing remote control by the operator of the botnet. Once a device is infected, it may attempt to self-propagate the botnet malware by recruiting other hardware devices in the surrounding network.

Obwohl es nicht möglich ist, die genaue Anzahl der Bots in einem bestimmten Botnetz zu bestimmen, reichen die Schätzungen für die Gesamtzahl der Bots in einem komplexen Botnetz von einigen tausend bis über eine Million.

Animation eines DDoS-Botnetz-Angriffs

Warum werden Botnetze erstellt?

Es gibt die unterschiedlichsten Gründe für die Verwendung eines Botnetzes, von Aktivismus bis zu Sabotage durch staatliche Stellen. Aber bei vielen Angriffen geht es nur um Profit. Man kann Botnetzdienste relativ kostengünstig anheuern, insbesondere im Vergleich zu dem Schaden, den sie anrichten können. Die Barrieren für die Erstellung eines Botnetzes sind so niedrig, dass es für einige Softwareentwickler ein lukratives Geschäft sein kann, vor allem in Regionen mit weniger strengen Vorschriften und Strafverfolgungsmaßnahmen. Diese Konstellation hat dazu geführt, dass immer mehr Onlinedienste solche Angriffe gegen Bezahlung (Attack-for-Hire) anbieten.

Wie wird ein Botnetz gesteuert?

Ein Kernmerkmal eines Botnetzes ist die Möglichkeit, aktualisierte Anweisungen vom Bot-Herder zu erhalten. Die Fähigkeit, mit jedem Bot im Netzwerk zu kommunizieren, ermöglicht es dem Angreifer, Angriffsvektoren zu wechseln, die angestrebte IP-Adresse zu ändern, einen Angriff zu beenden und andere benutzerdefinierte Aktionen durchzuführen. Botnetz-Designs variieren, aber die Kontrollstrukturen können in zwei allgemeine Kategorien unterteilt werden:

Das Client/Server-Botnetzmodell

Das Client/Server-Modell bildet den traditionellen Arbeitsablauf einer Remote-Workstation nach, bei dem sich jeder einzelne Computer mit einem zentralen Server (oder einer kleinen Anzahl von zentralen Servern) verbindet, um auf Informationen zuzugreifen. In diesem Modell verbindet sich jeder Bot mit einer Command-and-Control-Center-(CnC)-Ressource wie einer Webdomain oder einem IRC-Kanal, um Anweisungen zu erhalten. Durch die Verwendung dieser zentralisierten Speicher, um neue Befehle für das Botnetz bereitzustellen, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer Kommandozentrale aus verbraucht, um die Anweisungen für die infizierten Computer zu aktualisieren. Der zentralisierte Server, der das Botnetz kontrolliert, kann ein Gerät sein, das sich im Besitz des Angreifers befindet und von ihm betrieben wird, oder ein infiziertes Gerät.

Es wurde eine Reihe von populären zentralisierten Botnetz-Topologien beobachtet, darunter:

Stern-Netzwerktopologie

Animation einer Stern-Netzwerktopologie

Multiserver-Netzwerktopologie

Animation einer Multiserver-Netzwerktopologie

Hierarchische Netzwerktopologie

Animation einer hierarchischen Netzwerktopologie

Bei jedem dieser Client-Server-Modelle stellt jeder Bot eine Verbindung mit einer Kommandozentrale wie einer Webdomain oder einem IRC-Kanal her und wartet auf Anweisungen. Wenn neue Befehle für das Botnetz über solche zentralisierten Repositorys bereitgestellt werden, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer Kommandozentrale abruft, um die Anweisungen für die infizierten Computer zu aktualisieren.

Die Einfachheit, mit der man Anweisungen für das Botnetz aus wenigen zentralisierten Quellen aktualisieren kann, ist gleichzeitig die Schwachstelle dieser Maschinen: Um ein Botnetz mit einem zentralen Server zu beseitigen, muss man nur den Server unschädlich machen. Wegen dieser Schwachstelle haben die Entwickler von Botnetz-Malware dazugelernt und sind zu einem neuen Modell übergegangen, das weniger anfällig für Störungen durch einen oder nur wenige Ausfallpunkte ist.

Das Peer-to-Peer-Botnetzmodell

Um die Schwachstellen des Client/Server-Modells zu umgehen, wurden in jüngster Zeit auch Elemente des dezentralen Peer-to-Peer-Filesharing in Botnetze integriert. Durch die Einbettung der Kontrollstruktur in das Botnetz gibt es keinen zentralen Server mehr, der zum „Single Point of Failure“, zur zentralen Schwachstelle werden kann. Das erschwert die Bekämpfung. P2P-Bots können gleichzeitig Clients und Kommandozentralen sein, die Hand in Hand mit ihren benachbarten Knoten die Daten weiterverbreiten.

Bei Peer-to-Peer-Botnetzen wird eine Liste vertrauenswürdiger Computer geführt, die untereinander Mitteilungen austauschen und ihre Malware aktualisieren können. Die Anzahl weiterer Maschinen, zu denen der Bot eine Verbindung aufbaut, wird begrenzt. Dadurch hat jeder Bot nur mit benachbarten Geräten zu tun, was die Verfolgung und Bekämpfung erschwert. Durch das Fehlen eines zentralisierten Befehlsservers ist ein Peer-to-Peer-Botnetz allerdings auch anfälliger für eine Übernahme durch eine andere Person als den Schöpfer des Botnetzes. Um sie vor Kontrollverlust zu schützen, werden dezentrale Botnetze typischerweise so verschlüsselt, dass der Zugriff eingeschränkt ist.

Animation einer Peer-to-Peer-Netzwerktopologie

Wie werden IoT-Geräte zu einem Botnetz?

Niemand wickelt sein Internet-Banking über die drahtlose CCTV-Kamera im Hinterhof zur Beobachtung der Vogelfütterung ab. Das bedeutet aber nicht, dass das Gerät nicht in der Lage ist, die notwendigen Netzwerkanforderungen zu stellen. Die Leistungsfähigkeit von IoT-Geräten in Verbindung mit einer schwachen oder schlecht konfigurierten Sicherheit schafft eine Öffnung für Botnetz-Malware, um neue Bots in das Kollektiv aufzunehmen. Eine Zunahme der IoT-Geräte hat zu einer neuen Landschaft für DDoS-Angriffe geführt, da viele Geräte schlecht konfiguriert und anfällig sind.

Wenn die Schwachstelle eines IoT-Geräts fest in die Firmware einprogrammiert ist, sind Updates schwieriger. IoT-Geräte mit veralteter Firmware sollten aktualisiert werden, um Risiken zu verringern. Oft bleiben Standard-Anmeldedaten nach der Erstinstallation des Geräts unverändert. Für viele Hersteller von Discount-Hardware gibt es keinen Anreiz, ihre Geräte sicherer zu machen, deshalb bleibt die Anfälligkeit von IoT-Geräten für Botnetz-Malware ein ungelöstes Sicherheitsrisiko.

Wie wird ein vorhandenes Botnetz deaktiviert?

Deaktivierung der Kontrollzentren eines Botnetzes:

Botnetze mit einem Befehls- und Kontrollschema sind leichter unschädlich zu machen, sobald man die Kontrollzentren identifiziert hat. Durch Ausschalten der zentralen Ausfallstelle kann man das gesamte Botnetz offline bringen. Deshalb konzentrieren sich Systemadministratoren und Strafverfolgungsbehörden darauf, die Kontrollzentren dieser Botnetze stillzulegen. Dies ist schwieriger, wenn die Kommandozentrale in einem Land operiert, in dem die Strafverfolgungsbehörden weniger zum Eingreifen fähig oder bereit sind.

Beseitigung von Infizierungen auf einzelnen Geräten:

Für einzelne Computer beinhalten Strategien zur Wiederherstellung der Kontrolle über den Rechner das Ausführen von Antivirensoftware, die Neuinstallation von Software aus einem sicheren Backup oder den Neuanfang von einem sauberen Rechner nach einer Neuformatierung des Systems. Für IoT-Geräte können Strategien das Flashen der Firmware, das Ausführen eines werkseitigen Resets oder eine andere Formatierung des Geräts beinhalten. Wenn diese Option nicht möglich ist, können andere Strategien vom Hersteller des Geräts oder einem Systemadministrator verfügbar sein.

Wie kann man Geräte davor schützen, Teil eines Botnetzes zu werden?

Erstellung sicherer Passwörter:

For many vulnerable devices, reducing exposure to botnet vulnerability can be as simple as changing the administrative credentials to something other than the default username and password. Creating a secure password makes brute force cracking difficult, creating a very secure password makes brute force cracking virtually impossible. For example, a device infected with the Mirai malware will scan IP addresses looking for responding devices. Once a device responds to a ping request, the bot will attempt to login to that found device with a preset list of default credentials. If the default password has been changed and a secure password has been implemented, the bot will give up and move on, looking for more vulnerable devices.

Zulassung ausschließlich vertrauenswürdiger Ausführung von Drittanbietercodes:

Wenn man sich bei der Softwareausführung an das Modell für Mobilgeräte hält, dürfen nur zugelassene Anwendungen ausgeführt werden. Das verschafft mehr Kontrollmöglichkeiten zur Beendigung von Software, die als böswillig gilt, einschließlich von Botnetzen. Nur wenn Supervisor-Software (also der Kernel) gekapert werden kann, kann auch das Gerät gekapert werden. Dies hängt davon ab, ob ein sicherer Kernel vorhanden ist, den die meisten IoT-Geräte nicht haben, und ist eher auf Rechner anwendbar, auf denen Software von Drittanbietern läuft.

Regelmäßiges Löschen/Wiederherstellen des Systems:

Durch die Wiederherstellung eines bekannt sauberen Zustandes nach einer festgelegten Zeit kann man sämtlichen Unrat beseitigen, der sich auf einem System angesammelt hat, auch Botnetz-Software. Diese Strategie ist eine vorbeugende Maßnahme, durch die selbst im Hintergrund laufende Malware hinausgeworfen wird.

Implementierung guter Verfahren zur Ein- und Ausgangsfilterung:

Other more advanced strategies include filtering practices at network routers and firewalls. A principle of secure network design is layering: you have the least restriction around publicly accessible resources, while continually beefing up security for things you deem sensitive. Additionally, anything that crosses these boundaries has to be scrutinized: network traffic, usb drives, etc. Quality filtering practices increase the likelihood that DDoS malware and their methods of propagation and communication will be caught before entering or leaving the network.

Wenn Sie das Ziel eines Angriffs geworden sind, können Sie Maßnahmen treffen, um sich aus der Situation zu befreien. Wenn Sie bereits bei Cloudflare sind, können Sie diese Schritte befolgen, um Ihren Angriff zu bekämpfen. Der von Cloudflare implementierte DDoS-Schutz ist vielfältig, um so viele Angriffsvektoren wie möglich bekämpfen zu können. Erfahren Sie mehr über Cloudflares DDoS-Schutz und seine Funktionsweise.