Was ist ein DDoS-Botnetz?

Botnetz-Angriffe sind für die bedeutendsten DDoS-Angriffe aller Zeiten verantwortlich. Erfahren Sie, wie Geräte mit Botnetz-Malware infiziert werden, wie Bots ferngesteuert werden und wie Sie ein Netzwerk vor einem Botnetz-Angriff schützen können.

Share facebook icon linkedin icon twitter icon email icon

Botnetz

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • DDoS-Angriff definieren
  • Erläutern Sie, warum Botnetze erstellt werden
  • Verstehen Sie, wie Botnetze von Angreifern ferngesteuert werden
  • Überlegungen zu Strategien zur Deaktivierung eines Botnetzes und zur Verhinderung von Infizierung

Was ist ein Botnetz?

Ein Botnetz ist eine Gruppe von Computern, die mit Malware infiziert wurden und von einem böswilligen Täter kontrolliert werden. Der Begriff Botnetz ist ein Kofferwort aus den Wörtern Roboter und Netzwerk, und ein einzelnes infiziertes Gerät wird als Bot bezeichnet. Botnetze können so eingerichtet werden, dass sie illegale oder böswillige Aufgaben ausführen, zum Beispiel Spam versenden, Daten stehlen, Ransomware einschleusen sowie betrügerische Klicks auf Werbeanzeigen oder DDoS-Angriffe (Distributed Denial-of-Service) durchführen.


Während einige Malware, z. B. Ransomware, direkte Auswirkungen auf den Besitzer des Geräts hat, kann es bei DDoS-Botnetz-Malware verschiedene Sichtbarkeitsstufen geben; manche Malware ist so konzipiert, dass sie die vollständige Kontrolle über ein Gerät übernimmt, während andere Malware still im Hintergrund läuft und auf Anweisungen des Angreifers oder „Bot-Herders“ wartet.


Es gibt Botnetze, die sich selbst ausbreiten. Sie rekrutieren über verschiedene Kanäle zusätzliche Bots. Mögliche Infektionspfade sind Sicherheitslücken auf der Website, Trojaner-Malware und die Erschleichung von Remote-Zugriff durch eine geknackte schwache Authentifizierung. Sobald der Zugriff gelungen ist, führen alle diese Infektionsmethoden zur Installation von Malware auf dem Zielgerät, sodass es vom Betreiber des Botnetzes ferngesteuert werden kann. Ein infiziertes Gerät versucht möglicherweise, die Botnetz-Malware selbst zu verbreiten, und rekrutiert dazu weitere Hardwaregeräte in seiner Netzwerkumgebung.


Obwohl es nicht möglich ist, die genaue Anzahl der Bots in einem bestimmten Botnetz zu bestimmen, reichen die Schätzungen für die Gesamtzahl der Bots in einem komplexen Botnetz von einigen tausend bis über eine Million.

DDoS Botnet attack animation

Warum werden Botnetze erstellt?

Es gibt die unterschiedlichsten Gründe für die Verwendung eines Botnetzes, von Aktivismus bis zu Sabotage durch staatliche Stellen. Aber bei vielen Angriffen geht es nur um Profit. Man kann Botnetzdienste relativ kostengünstig anheuern, insbesondere im Vergleich zu dem Schaden, den sie anrichten können. Die Barrieren für die Erstellung eines Botnetzes sind so niedrig, dass es für einige Softwareentwickler ein lukratives Geschäft sein kann, vor allem in Regionen mit weniger strengen Vorschriften und Strafverfolgungsmaßnahmen. Diese Konstellation hat dazu geführt, dass immer mehr Onlinedienste solche Angriffe gegen Bezahlung (Attack-for-Hire) anbieten.

Wie wird ein Botnetz gesteuert?

Ein zentrales Merkmal eines Botnetzes ist die Möglichkeit für den Betreiber, neue Anweisungen zu verbreiten. Da er mit jedem Bot im Netzwerk kommunizieren kann, kann der Angreifer etwa die Angriffsvektoren wechseln, die anvisierte IP-Adresse ändern, einen Angriff beenden und andere individuelle Aktionen durchführen. Der Aufbau von Botnetzen kann variieren, aber die Kontrollstrukturen lassen sich in zwei Kategorien unterteilen:

Das Client/Server-Botnetzmodell

Das Client/Server-Modell entspricht der traditionellen Struktur mit Remote-Arbeitsstationen, bei dem jeder einzelne Computer mit einem zentralen Server (oder wenigen zentralen Servern) verbunden ist, um auf Daten zuzugreifen. In diesem Modell stellt jeder Bot eine Verbindung zu einer C&C-Ressource (einem Command-and-Control-Center) wie einer Webdomain oder einem IRC-Kanal her, von der er Anweisungen erhält. Wenn neue Befehle für das Botnetz über diese zentralisierten Repositorys verbreitet werden, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer solchen Kommandozentrale abruft, und kann damit die Anweisungen auf den infizierten Computern ändern. Der zentralisierte Server, der das Botnetz kontrolliert, kann ein Gerät sein, das dem Angreifer gehört und von ihm betrieben wird, oder es kann sich um ein infiziertes Gerät handeln.


Es wurde eine Reihe von populären zentralisierten Botnetz-Topologien beobachtet, darunter:

Stern-Netzwerktopologie

Star network topology animation

Multiserver-Netzwerktopologie

Multi server network topology animation

Hierarchische Netzwerktopologie

Hierarchical network topology animation

Bei jedem dieser Client-Server-Modelle stellt jeder Bot eine Verbindung mit einer Kommandozentrale wie einer Webdomain oder einem IRC-Kanal her und wartet auf Anweisungen. Wenn neue Befehle für das Botnetz über solche zentralisierten Repositorys bereitgestellt werden, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer Kommandozentrale abruft, um die Anweisungen für die infizierten Computer zu aktualisieren.


Die Einfachheit, mit der man Anweisungen für das Botnetz aus wenigen zentralisierten Quellen aktualisieren kann, ist gleichzeitig die Schwachstelle dieser Maschinen: Um ein Botnetz mit einem zentralen Server zu beseitigen, muss man nur den Server unschädlich machen. Wegen dieser Schwachstelle haben die Entwickler von Botnetz-Malware dazugelernt und sind zu einem neuen Modell übergegangen, das weniger anfällig für Störungen durch einen oder nur wenige Ausfallpunkte ist.

Das Peer-to-Peer-Botnetzmodell

Um die Schwachstellen des Client/Server-Modells zu umgehen, wurden in jüngster Zeit auch Elemente des dezentralen Peer-to-Peer-Filesharing in Botnetze integriert. Durch die Einbettung der Kontrollstruktur in das Botnetz gibt es keinen zentralen Server mehr, der zum „Single Point of Failure“, zur zentralen Schwachstelle werden kann. Das erschwert die Bekämpfung. P2P-Bots können gleichzeitig Clients und Kommandozentralen sein, die Hand in Hand mit ihren benachbarten Knoten die Daten weiterverbreiten.


Bei Peer-to-Peer-Botnetzen wird eine Liste vertrauenswürdiger Computer geführt, die untereinander Mitteilungen austauschen und ihre Malware aktualisieren können. Die Anzahl weiterer Maschinen, zu denen der Bot eine Verbindung aufbaut, wird begrenzt. Dadurch hat jeder Bot nur mit benachbarten Geräten zu tun, was die Verfolgung und Bekämpfung erschwert. Durch das Fehlen eines zentralisierten Befehlsservers ist ein Peer-to-Peer-Botnetz allerdings auch anfälliger für eine Übernahme durch eine andere Person als den Schöpfer des Botnetzes. Um sie vor Kontrollverlust zu schützen, werden dezentrale Botnetze typischerweise so verschlüsselt, dass der Zugriff eingeschränkt ist.

Peer-to-peer network topology animation

Wie werden IoT-Geräte zu einem Botnetz?

Niemand macht seine Internet-Bankgeschäfte über die drahtlose CCTV-Kamera, mit der er das Vogelhäuschen im Hinterhof beobachtet. Aber dieses Gerät könnte durchaus in der Lage sein, die dafür notwendigen Netzwerkanfragen zu senden. Die Leistungsfähigkeit von IoT-Geräten in Verbindung mit schwachen oder schlecht konfigurierten Sicherheitsvorkehrungen bietet Angriffsfläche für Botnetz-Malware, die neue Bots in ihr Kollektiv aufnehmen soll. Die Verbreitung der IoT-Geräte hat zu einer neuen Landschaft für DDoS-Angriffe geführt, denn viele dieser Geräte sind schlecht konfiguriert und anfällig.


Wenn die Schwachstelle eines IoT-Geräts fest in die Firmware einprogrammiert ist, sind Updates schwieriger. IoT-Geräte mit veralteter Firmware sollten aktualisiert werden, um Risiken zu verringern. Oft bleiben Standard-Anmeldedaten nach der Erstinstallation des Geräts unverändert. Für viele Hersteller von Discount-Hardware gibt es keinen Anreiz, ihre Geräte sicherer zu machen, deshalb bleibt die Anfälligkeit von IoT-Geräten für Botnetz-Malware ein ungelöstes Sicherheitsrisiko.

Wie wird ein vorhandenes Botnetz deaktiviert?

Deaktivierung der Kontrollzentren eines Botnetzes:

Botnetze mit einem Befehls- und Kontrollschema sind leichter unschädlich zu machen, sobald man die Kontrollzentren identifiziert hat. Durch Ausschalten der zentralen Ausfallstelle kann man das gesamte Botnetz offline bringen. Deshalb konzentrieren sich Systemadministratoren und Strafverfolgungsbehörden darauf, die Kontrollzentren dieser Botnetze stillzulegen. Dies ist schwieriger, wenn die Kommandozentrale in einem Land operiert, in dem die Strafverfolgungsbehörden weniger zum Eingreifen fähig oder bereit sind.

Beseitigung von Infizierungen auf einzelnen Geräten:

Um die Kontrolle über einen einzelnen Computer wieder zurückzuerlangen, gibt es unter anderem diese Strategien: Antivirensoftware ausführen, die Software aus einem sicheren Backup neu installieren, oder das System ganz neu formatieren und mit einer sauberen Maschine von vorn anfangen. Bei IoT-Geräten kann man hierfür die Firmware überschreiben (flashen), sie auf die Werkseinstellungen zurücksetzen oder das Gerät anderweitig formatieren. Gibt es diese Möglichkeiten nicht, so können der Hersteller des Geräts oder ein Systemadministrator vielleicht weitere Strategien nennen.

Wie kann man Geräte davor schützen, Teil eines Botnetzes zu werden?

Erstellung sicherer Passwörter:

Bei vielen gefährdeten Geräten kann man die Gefährdung durch Botnetze schon durch eine ganz einfache Maßnahme verringern, nämlich dadurch, dass man die Anmeldedaten des Administrators von dem Standardbenutzernamen und dem Standardpasswort in etwas anderes ändert. Ein sicheres Passwort ist durch Brute-Force-Angriffe nur schwer zu knacken. Bei einem sehr sicheren Passwort ist ein Brute-Force-Angriff praktisch aussichtslos. Ein Gerät, dass mit der Malware Mirai infiziert wurde, probiert beispielsweise IP-Adressen durch und testet, ob Geräte antworten. Sobald ein Gerät auf eine Ping-Anfrage antwortet, versucht der Bot, sich bei diesem Gerät anzumelden. Dafür arbeitet er eine vorgefertigte Liste von Standard-Anmeldedaten durch. Wenn das Standardpasswort geändert und ein sicheres Passwort vergeben wurde, gibt der Bot auf und sucht woanders nach anfälligen Geräten weiter.

Zulassung ausschließlich vertrauenswürdiger Ausführung von Drittanbietercodes:

Wenn man sich bei der Softwareausführung an das Modell für Mobilgeräte hält, dürfen nur Anwendungen auf der Whitelist ausgeführt werden. Das verschafft mehr Kontrollmöglichkeiten zur Beseitigung von Software, die als schädlich gilt, einschließlich von Botnetzen. Nur wenn Supervisor-Software (also der Kernel) gekapert werden kann, kann auch das Gerät gekapert werden. Alles hängt davon ab, ob ein sicherer Kernel vorhanden ist, was bei den meisten IoT-Geräte nicht der Fall ist, und es gilt eher für Maschinen, auf denen Software von Drittanbietern läuft.

Regelmäßiges Löschen/Wiederherstellen des Systems:

Durch die Wiederherstellung eines bekannt sauberen Zustandes nach einer festgelegten Zeit kann man sämtlichen Unrat beseitigen, der sich auf einem System angesammelt hat, auch Botnetz-Software. Diese Strategie ist eine vorbeugende Maßnahme, durch die selbst im Hintergrund laufende Malware hinausgeworfen wird.

Implementierung guter Verfahren zur Ein- und Ausgangsfilterung:

Weitere fortgeschrittene Strategien sind unter anderem Filterverfahren bei Netzwerkroutern und Firewalls. Ein Grundsatz für sicheres Netzwerkdesign ist die Anordnung in Schichten: Bei öffentlich zugänglichen Ressourcen sind die Einschränkungen am geringsten, bei als sensibel geltenden Dingen gelten stärkere Sicherheitsmaßnahmen. Darüber hinaus muss alles überprüft werden, was die Grenzen übertritt: Netzwerktraffic, USB-Laufwerke usw. Hochwertige Filterverfahren erhöhen die Wahrscheinlichkeit, dass DDoS-Malware und ihre Verbreitungs- und Kommunikationsmethoden vor dem Betreten oder Verlassen des Netzwerks abgefangen werden.


Wenn Sie zurzeit einem Angriff ausgesetzt sind, gibt es Schritte, die Sie unternehmen können, um sich aus der Situation zu befreien. Wenn Sie bereits bei Cloudflare sind, können Sie in diesen Schritten gegen den Angriff vorgehen. Der DDoS-Schutz, den wir bei Cloudflare implementieren, ist vielfältig, um die vielen möglichen Angriffsvektoren zu bekämpfen. Informieren Sie sich über Cloudflares DDoS-Schutz.