Bundesamt für Sicherheit in der Informationstechnik

G 5.156 Bot-Netze

Bei einem Bot handelt es sich um ein Programm, das von einem Angreifer auf dem Rechner eines Anwenders ohne dessen Wissen installiert wird, z. B. über entsprechende Schadsoftware, und das aus der Ferne Anweisungen des Angreifers ausführen kann. Werden viele Bots zusammengeschlossen, entsteht ein Bot-Netz.

Bot-Netze werden für viele illegale Aktivitäten eingesetzt. Der massenhafte Versand von Spam-Mails oder E-Mails mit bösartigen Anhängen und Links (z. B. für Phishing) aber auch die Aufzeichnung von Tastaturanschlägen (Keylogging) und damit einhergehend die Entwendung bzw. der Diebstahl persönlicher Informationen wie (Passwörter, PIN , etc.) oder vertraulicher Geschäftsinformationen (Wirtschaftsspionage) sind Einsatzgebiete von Bot-Netzen. Darüber hinaus können mit Bots infizierte Rechner missbraucht werden, um dort illegale Software abzulegen oder diese sogar über die infizierten Rechner anzubieten, z. B. per File-Sharing. Eine besonders für Netze und Dienste sehr ernst zu nehmende Angriffsform sind so genannte DDoS-Angriffe (DDoS, Distributed Denial of Service). DDoS-Angriffe werden aus politischen, ideologischen, vorwiegend aber aus finanziellen Gründen heraus unternommen.

Vereinfacht dargestellt ist der typische Aufbau eines Bot-Netzes wie folgt:

  • Der Bot-Master (auch Bot Herder) entwickelt einen Bot-Client. Über das Internet infiziert er unter Ausnutzung einer bestehenden Sicherheitslücke den PC eines Endanwenders.
  • Der Bot-Client verbindet sich zum Command and Control Server (C&C Server).
  • Der Bot-Master aktualisiert den Bot-Client mit neuen Angriffen und Instruktionen.
  • Der Bot scannt einen zufälligen IP-Adressbereich nach Schwachstellen und infiziert andere Rechner.
  • Infizierte Computer verbinden sich ihrerseits zum Command and Control Server und nehmen Befehle entgegen.

Infektions- und Ausbreitungs-Mechanismus

In der Vergangenheit erfolgte die Infektion eines PC s mit Bots meist unter Ausnutzung bekannter Sicherheitslücken in Systemdiensten und Applikationen. So enthielten die Würmer SDBot und Agobot Scanroutinen, um Sicherheitslücken in ungeschützten Systemen aufzuspüren. SDBot verbreitet sich unter anderem unter Ausnutzung der folgenden Sicherheitslücken: NetBIOS (Port 139), NTPass (Port 445), DCOM (Ports 135 und 1025) und WebDav (Port 80). Agobot verfügt über ein Exploit-Framework zur Ausnutzung von Schwachstellen entfernter Dienste (z. B. Ports 135 und 445). Darüber hinaus sucht Agobot nach Hintertüren, die von anderen Schadprogrammen hinterlassen wurden, z. B. von Bagle auf Port 2745.

Eine aus Sicht der Angreifer weitere effektive Infektionsmethode ist der Einsatz von Social Engineering, um Benutzer zu einer spontanen unbedachten Handlung, wie Klicken auf manipulierte Links in E-Mails bzw. Instant Messaging-Nachrichten oder die Ausführung von E-Mail-Anhängen, zu verleiten. Viele Schädlinge werden auch über File-Sharing (Peer-to-Peer-Netze) verteilt. In jüngster Zeit ist zunehmend auch zu beobachten, dass legitime und stark frequentierte Webseiten manipuliert und als Verteilungspunkt für Schadprogramme missbraucht werden, indem Skriptcode in die Webseite eingefügt wird, um Schadprogramme auf dem Rechner der Benutzer automatisch zu installieren (Drive-by-Download oder Drive-by-Infection).

Ein weiterer wichtiger Aspekt bei der Betrachtung von Bot-Netzen ist ihre Kommunikations- und Steuerungsstruktur. In den meisten Fällen erfolgt die Steuerung über einen oder mehrere Command and Control Server. Zentral gesteuerte Bot-Netze lassen sich einfach entwickeln und administrieren. Allerdings führt eine Sperrung der wenigen Command and Control Server dazu, dass das Bot-Netz nicht mehr genutzt werden kann. Zum Schutz der Bot-Netze vor Entdeckung und Deaktivierung werden daher zunehmend andere Kommunikationsmodelle wie z. B. Peer-to-Peer-Protokolle (wegen ihrer dezentralen Architektur) und HTTP sowie Verschleierungstechniken wie Kompression, Verschlüsselung und Fast-Fluxing, eingesetzt.

Beispiele:

  • Das Bot-Netz Zeus bestand aus mehr als 100.000 gekaperten Rechnern, vornehmlich in Spanien und Polen, und wurde mit Hilfe des kostengünstigen Bot-Netz-Toolkits Zeus zusammengestellt. Das Bot-Netz Zeus sammelte vor allem Finanzdaten, wie Konten- oder Kreditkartendaten, und andere vertrauliche Informationen. Es wurde zentral von einem Server kontrolliert. Von diesem Server ging im April 2009 dann ein "Kill Operating System"-Befehl aus, der dafür sorgte, dass bei allen an das Bot-Netz angeschlossenen Rechnern wichtige Einträge in der Registrierungsdatei von Windows gelöscht und der virtuelle Speicher von Windows mit Nullen überschrieben wurde. Das Betriebssystem konnte in der Folge nicht mehr gestartet werden, so dass die Rechner vollständig neu installiert werden mussten.
  • Torpig ist ein Trojanisches Pferd, das Windows-Betriebssysteme befällt und die entsprechenden Rechner zu einem Bot-Netz zusammenschließt. Im Jahr 2006 wurde Torpig als ausführbare Datei via E-Mail versendet, inzwischen wird es auch als Skriptcode auf Webseiten verteilt. Die einzelnen befallenen Rechner generierten aus Zufallselementen und Suchergebnissen von Twitter-Beiträgen eigene Domainnamen, von denen sie dann Schadcode und Updates nachluden. Die Aufgabe des Bot-Netzes war es, Daten für Bankkonten, Kreditkartendaten und FTP Accounts auszuspionieren. Die gesammelten Informationen wurden an einen zentralen Server übermittelt.
    Wissenschaftlern gelang es Anfang 2009, den Datenverkehr des Bot-Netzes für rund 10 Tage mitzuschneiden und zu untersuchen. So soll Torpig die Daten von mehr als 300.000 verschiedenen Konten, darunter Bankkontodaten und Kreditkartendaten der unterschiedlichsten Kreditinstitute, ausgespäht haben.

Stand: 12. EL Stand 2011