G 5.156 Bot-Netze

Bei einem Bot handelt es sich um ein Programm, das von einem Angreifer auf dem Rechner eines Anwenders ohne dessen Wissen installiert wird, z. B. über entsprechende Schadsoftware, und das aus der Ferne Anweisungen des Angreifers ausführen kann. Werden viele Bots zusammengeschlossen, entsteht ein Bot-Netz.

Bot-Netze werden für viele illegale Aktivitäten eingesetzt. Der massenhafte Versand von Spam-Mails oder E-Mails mit bösartigen Anhängen und Links (z. B. für Phishing) aber auch die Aufzeichnung von Tastaturanschlägen (Keylogging) und damit einhergehend die Entwendung bzw. der Diebstahl persönlicher Informationen wie (Passwörter, PIN , etc.) oder vertraulicher Geschäftsinformationen (Wirtschaftsspionage) sind Einsatzgebiete von Bot-Netzen. Darüber hinaus können mit Bots infizierte Rechner missbraucht werden, um dort illegale Software abzulegen oder diese sogar über die infizierten Rechner anzubieten, z. B. per File-Sharing. Eine besonders für Netze und Dienste sehr ernst zu nehmende Angriffsform sind so genannte DDoS-Angriffe (DDoS, Distributed Denial of Service). DDoS-Angriffe werden aus politischen, ideologischen, vorwiegend aber aus finanziellen Gründen heraus unternommen.

Vereinfacht dargestellt ist der typische Aufbau eines Bot-Netzes wie folgt:

1. Der Bot-Master (auch Bot Herder) entwickelt einen Bot-Client. Über das Internet infiziert er unter Ausnutzung einer bestehenden Sicherheitslücke den PC eines Endanwenders.

2. Der Bot-Client verbindet sich zum Command and Control Server (C&C Server).

3. Der Bot-Master aktualisiert den Bot-Client mit neuen Angriffen und Instruktionen.

4. Der Bot scannt einen zufälligen IP-Adressbereich nach Schwachstellen und infiziert andere Rechner.

5. Infizierte Computer verbinden sich ihrerseits zum Command and Control Server und nehmen Befehle entgegen.

Infektions- und Ausbreitungs-Mechanismus

In der Vergangenheit erfolgte die Infektion eines PC s mit Bots meist unter Ausnutzung bekannter Sicherheitslücken in Systemdiensten und Applikationen. So enthielten die Würmer SDBot und Agobot Scanroutinen, um Sicherheitslücken in ungeschützten Systemen aufzuspüren. SDBot verbreitet sich unter anderem unter Ausnutzung der folgenden Sicherheitslücken: NetBIOS (Port 139), NTPass (Port 445), DCOM (Ports 135 und 1025) und WebDav (Port 80). Agobot verfügt über ein Exploit-Framework zur Ausnutzung von Schwachstellen entfernter Dienste (z. B. Ports 135 und 445). Darüber hinaus sucht Agobot nach Hintertüren, die von anderen Schadprogrammen hinterlassen wurden, z. B. von Bagle auf Port 2745.

Eine aus Sicht der Angreifer weitere effektive Infektionsmethode ist der Einsatz von Social Engineering, um Benutzer zu einer spontanen unbedachten Handlung, wie Klicken auf manipulierte Links in E-Mails bzw. Instant Messaging-Nachrichten oder die Ausführung von E-Mail-Anhängen, zu verleiten. Viele Schädlinge werden auch über File-Sharing (Peer-to-Peer-Netze) verteilt. In jüngster Zeit ist zunehmend auch zu beobachten, dass legitime und stark frequentierte Webseiten manipuliert und als Verteilungspunkt für Schadprogramme missbraucht werden, indem Skriptcode in die Webseite eingefügt wird, um Schadprogramme auf dem Rechner der Benutzer automatisch zu installieren (Drive-by-Download oder Drive-by-Infection).

Ein weiterer wichtiger Aspekt bei der Betrachtung von Bot-Netzen ist ihre Kommunikations- und Steuerungsstruktur. In den meisten Fällen erfolgt die Steuerung über einen oder mehrere Command and Control Server. Zentral gesteuerte Bot-Netze lassen sich einfach entwickeln und administrieren. Allerdings führt eine Sperrung der wenigen Command and Control Server dazu, dass das Bot-Netz nicht mehr genutzt werden kann. Zum Schutz der Bot-Netze vor Entdeckung und Deaktivierung werden daher zunehmend andere Kommunikationsmodelle wie z. B. Peer-to-Peer-Protokolle (wegen ihrer dezentralen Architektur) und HTTP sowie Verschleierungstechniken wie Kompression, Verschlüsselung und Fast-Fluxing, eingesetzt.

Beispiele: