Was ist ein DDoS-Botnetz?

Botnetz-Angriffe sind für die bedeutendsten DDoS-Angriffe aller Zeiten verantwortlich. Erfahren Sie, wie Geräte mit Botnet-Malware infiziert werden, wie Bots ferngesteuert werden und wie Sie ein Netzwerk vor einem Botnet-Angriff schützen können.

Share facebook icon linkedin icon twitter icon email icon

Botnetz

Lernziele

Nach der Lektüre dieses Artikels können Sie Folgendes:

  • DDoS-Angriff definieren
  • Erläutern Sie, warum Botnetze erstellt werden
  • Verstehen Sie, wie Botnetze von Angreifern ferngesteuert werden
  • Grund für Strategien zur Deaktivierung eines Botnetzes und zur Verhinderung von Infizierung

Was ist ein Botnetz?

Ein Botnetz bezieht sich auf eine Gruppe von Computern, die mit Malware infiziert wurden und unter die Kontrolle eines bösartigen Akteurs geraten sind. Der Begriff Botnetz ist ein Portmanteau aus den Wörtern Roboter und Netzwerk und jedes infizierte Gerät wird als Bot bezeichnet. Botnetze können so konzipiert sein, dass sie illegale oder bösartige Aufgaben wie das Senden von Spam, Datendiebstahl, Ransomware, betrügerisches Klicken auf Anzeigen oder verteilte Denial-of-Service (DDoS)-Angriffe erfüllen.


Während einige Malware, wie z. B. Ransomware, direkte Auswirkungen auf den Besitzer des Geräts haben, kann DDoS-Botnetz-Malware verschiedene Sichtbarkeitsstufen haben; einige Malware ist so konzipiert, dass sie die vollständige Kontrolle über ein Gerät übernimmt, während andere Malware still im Hintergrund läuft und still auf Anweisungen des Angreifers oder „Bot-Herders“ wartet.


Selbstpropagierende Botnetze rekrutieren zusätzliche Bots über eine Vielzahl von Kanälen. Zu den Wegen für eine Infizierung gehören die Ausnutzung von Website-Lücken, Trojaner-Malware und das Knacken von schwacher Authentifizierung, um Fernzugriff zu erhalten. Sobald der Zugriff erfolgt ist, führen alle diese Infizierungsmethoden zur Installation von Malware auf dem Zielgerät und ermöglichen die Fernsteuerung durch den Betreiber des Botnetzes. Sobald ein Gerät infiziert ist, kann es versuchen, die Botnetz-Malware selbst zu verbreiten, indem es andere Hardware-Geräte im umgebenden Netzwerk einsetzt.


Obwohl es nicht möglich ist, die genaue Anzahl der Bots in einem bestimmten Botnetz zu bestimmen, reichen die Schätzungen für die Gesamtzahl der Bots in einem komplexen Botnetz von einigen tausend bis über eine Million.

DDoS Botnet attack animation

Warum werden Botnetze erstellt?

Die Gründe für die Nutzung eines Botnetzes reichen von Aktivismus bis hin zu staatlich geförderten Störungen, wobei viele Angriffe einfach aus Profitgründen durchgeführt werden. Die Beauftragung von Botnetz-Diensten online ist relativ kostengünstig, insbesondere in Bezug auf die Höhe des Schadens, den sie verursachen können. Das Hindernis für die Schaffung eines Botnetzes ist auch gering genug, um es für einige Softwareentwickler zu einem lukrativen Geschäft zu machen, insbesondere in geografischen Gebieten, in denen Regulierung und Strafverfolgung begrenzt sind. Diese Kombination hat zu einer Zunahme von Online-Diensten geführt, die beauftragte Angriffe anbieten.

Wie wird ein Botnetz gesteuert?

Ein Kernmerkmal eines Botnetzes ist die Möglichkeit, aktualisierte Anweisungen vom Bot-Herder zu erhalten. Die Fähigkeit, mit jedem Bot im Netzwerk zu kommunizieren, ermöglicht es dem Angreifer, Angriffsvektoren zu wechseln, die angestrebte IP-Adresse zu ändern, einen Angriff zu beenden und andere benutzerdefinierte Aktionen durchzuführen. Botnetz-Designs variieren, aber die Kontrollstrukturen können in zwei allgemeine Kategorien unterteilt werden:

Das Client/Server Botnetz-Modell

Das Client/Server-Modell bildet den traditionellen Arbeitsablauf einer Remote-Workstation nach, bei dem sich jeder einzelne Computer mit einem zentralen Server (oder einer kleinen Anzahl von zentralen Servern) verbindet, um auf Informationen zuzugreifen. In diesem Modell verbindet sich jeder Bot mit einer Command-and-Control-Center (CnC)-Ressource wie einer Webdomain oder einem IRC-Kanal, um Anweisungen zu erhalten. Durch die Verwendung dieser zentralisierten Speicher, um neue Befehle für das Botnetz bereitzustellen, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer Kommandozentrale aus verbraucht, um die Anweisungen für die infizierten Computer zu aktualisieren. Der zentralisierte Server, der das Botnetz kontrolliert, kann ein Gerät sein, das sich im Besitz des Angreifers befindet und von ihm betrieben wird, oder ein infiziertes Gerät.


Eine Reihe von populären zentralisierten Botnetz-Topologien wurden beobachtet, darunter:

Stern-Netzwerk-Topologie

Star network topology animation

Multi-Server-Netzwerk-Topologie

Multi server network topology animation

Hierarchische Netzwerk-Topologie

Hierarchical network topology animation

In einem dieser Client-/Server-Modelle verbindet sich jeder Bot mit einer Command Center-Ressource wie einer Web-Domain oder einem IRC-Kanal, um Anweisungen zu erhalten. Durch die Verwendung dieser zentralisierten Speicher, um neue Befehle für das Botnetz bereitzustellen, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer Kommandozentrale aus verbraucht, um die Anweisungen für die infizierten Computer zu aktualisieren.


Hand in Hand mit der Einfachheit der Aktualisierung von Anweisungen für das Botnetz aus einer begrenzten Anzahl von zentralisierten Quellen ist die Schwachstelle dieser Maschinen; um ein Botnetz mit einem zentralisierten Server zu entfernen, muss nur der Server unterbrochen werden. Infolge dieser Schwachstelle haben sich die Entwickler von Botnetz-Malware weiterentwickelt und sind zu einem neuen Modell übergegangen, das weniger anfällig für Störungen durch einen einzelnen oder wenige Fehlerpunkte ist.

Das Peer-to-Peer Botnetz-Modell

Um die Schwachstellen des Client/Server-Modells zu umgehen, wurden Botnetze in jüngster Zeit mit Komponenten des dezentralen Peer-to-Peer-Filesharing konzipiert. Durch die Einbettung der Kontrollstruktur in das Botnetz wird der einzelne Fehlerpunkt in einem Botnetz mit einem zentralisierten Server eliminiert, was die Eindämmungsmaßnahmen erschwert. P2P-Bots können sowohl Clients als auch Kommandozentralen sein, die Hand in Hand mit ihren benachbarten Knoten arbeiten, um Daten zu übertragen.


Peer-to-Peer-Botnetze führen eine Liste von vertrauenswürdigen Computern, mit denen sie Kommunikationen austauschen und empfangen und ihre Malware aktualisieren können. Durch die Begrenzung der Anzahl der anderen Maschinen, mit denen sich der Bot verbindet, wird jeder Bot nur benachbarten Geräten ausgesetzt, was die Verfolgung erschwert und die Abschwächung erschwert. Das Fehlen eines zentralisierten Befehlsservers macht ein Peer-to-Peer-Botnetz anfälliger für die Kontrolle durch eine andere Person als den Ersteller des Botnetzes. Um vor Kontrollverlust zu schützen, werden dezentrale Botnetze typischerweise so verschlüsselt, dass der Zugriff eingeschränkt ist.

Peer-to-peer network topology animation

Wie werden IoT-Geräte zu einem Botnetz?

Niemand macht sein Internet-Banking über die drahtlose CCTV-Kamera im Hinterhof zur Beobachtung der Vogelfütterung; das bedeutet aber nicht, dass das Gerät nicht in der Lage ist, die notwendigen Netzwerkanforderungen zu stellen. Die Leistungsfähigkeit vonIoT-Geräten in Verbindung mit einer schwachen oder schlecht konfigurierten Sicherheit schafft eine Öffnung für Botnetz-Malware, um neue Bots in das Kollektiv aufzunehmen. Ein Anstieg der IoT-Geräte hat zu einer neuen Landschaft für DDoS-Angriffe geführt, da viele Geräte schlecht konfiguriert und anfällig sind.


Wenn die Schwachstelle eines IoT-Geräts in der Firmware fest programmiert ist, sind Updates schwieriger. Um das Risiko zu minimieren, sollten IoT-Geräte mit veralteter Firmware aktualisiert werden, da die Standard-Anmeldeinformationen in der Regel seit der Erstinstallation des Geräts unverändert bleiben. Viele Discount-Hersteller von Hardware sind nicht dazu angehalten, ihre Geräte sicherer zu machen, so dass die Schwachstelle von Botnetz-Malware auf IoT-Geräte ein ungelöstes Sicherheitsrisiko bleibt.

Wie wird ein bestehendes Botnetz deaktiviert?

Deaktivierung der Kontrollzentren eines Botnetzes:

Botnetze, die mit einem Befehls- und Kontrollschema entworfen wurden, können leichter deaktiviert werden, sobald die Kontrollzentren identifiziert werden können. Das Trennen der Kopfzeile an den Fehlerstellen kann das gesamte Botnetz offline bringen. Infolgedessen konzentrieren sich Systemadministratoren und Strafverfolgungsbehörden auf die Schließung der Kontrollzentren dieser Botnetze. Dieser Prozess ist schwieriger, wenn die Kommandozentrale in einem Land operiert, in dem die Strafverfolgungsbehörden weniger in der Lage oder bereit sind, zu intervenieren.

Beseitigung von Infizierungen auf einzelnen Geräten:

Für einzelne Computer beinhalten Strategien zur Wiederherstellung der Kontrolle über die Maschine das Ausführen von Antivirensoftware, die Neuinstallation von Software aus einem sicheren Backup oder den Neuanfang von einer sauberen Maschine nach einer Neuformatierung des Systems. Für IoT-Geräte können Strategien das Flashen der Firmware, das Ausführen eines werkseitigen Resets oder eine andere Formatierung des Geräts beinhalten. Wenn diese Option nicht möglich ist, können andere Strategien vom Hersteller des Geräts oder einem Systemadministrator verfügbar sein.

Wie kann man Geräte davor schützen, Teil eines Botnetzes zu werden?

Erstellen Sie sichere Passwörter:

Für viele anfällige Geräte kann die Reduzierung der Gefährdung durch Botnetz-Schwachstellen so einfach sein, wie das Ändern der administrativen Anmeldeinformationen in etwas anderes als den Standardbenutzernamen und das Standardpasswort. Das Erstellen eines sicheren Passworts macht Brute-Force-Cracking schwierig, das Erstellen eines sehr sicheren Passworts macht Brute-Force-Cracking praktisch unmöglich. Ein mit Mirai-Malware infiziertes Gerät scannt beispielsweise IP-Adressen und sucht nach antwortenden Geräten. Sobald ein Gerät auf eine Ping-Anfrage reagiert, versucht der Bot, sich bei dem gefundenen Gerät mit einer voreingestellten Liste von Standard-Anmeldeinformationen anzumelden. Wenn das Standardpasswort geändert und ein sicheres Passwort implementiert wurde, gibt der Bot auf, macht aber weiter und sucht nach anfälligeren Geräten.

Erlauben Sie nur die vertrauenswürdige Ausführung von Drittanbietercode:

Wenn Sie das Handy-Modell der Softwareausführung verwenden, können nur Anwendungen auf der Whitelist ausgeführt werden, die mehr Kontrolle über das Löschen von Software gewähren, die als bösartig gilt, einschließlich Botnetze. Nur eine Ausnutzung der Supervisor-Software (z. B. Kernel) kann zur Ausnutzung des Gerätes führen. Dies hängt davon ab, ob ein sicherer Kernel vorhanden ist, den die meisten IoT-Geräte nicht haben, und ist eher auf Maschinen anwendbar, auf denen Software von Drittanbietern läuft.

Regelmäßiges Wischen/Wiederherstellen des Systems:

Die Wiederherstellung in einen bekannten guten Zustand nach einer bestimmten Zeit entfernt alle bösartigen Dinge, die ein System gesammelt hat, einschließlich Botnetz-Software. Diese Strategie, die als Präventivmaßnahme eingesetzt wird, stellt sicher, dass selbst im Hintergrund laufende Malware mit den ganzen bösartigen Dingen entsorgt wird.

Implementierung guter Verfahren zur Ein- und Ausgangsfilterung:

Andere fortgeschrittenere Strategien sind Filterverfahren an Netzwerk-Routern und Firewalls. Ein Prinzip des sicheren Netzwerkdesigns ist die Schichtenbildung: Sie haben die geringste Einschränkung bei öffentlich zugänglichen Ressourcen, während Sie gleichzeitig die Sicherheit für Dinge, die Sie für sensibel halten, kontinuierlich verbessern. Zusätzlich muss alles, was diese Grenzen überschreitet, überprüft werden: Netzwerkverkehr, USB-Laufwerke, etc. Qualitativ hochwertige Filterverfahren erhöhen die Wahrscheinlichkeit, dass DDoS-Malware und ihre Verbreitungs- und Kommunikationsmethoden vor dem Eindringen oder Verlassen des Netzwerks aufgefangen werden.


Wenn Sie das Ziel eines Angriffs geworden sind, können Sie Maßnahmen treffen, um sich aus der Situation zu befreien. Wenn Sie bereits bei Cloudflare sind, befolgen Sie diese Schritte zur Angriffsabwehr. Der von Cloudflare implementierte DDoS-Schutz ist vielfältig, um so viele Angriffsvektoren wie möglich bekämpfen zu können. Erfahren Sie mehr über den DDoS-Schutz von Cloudflare.