Bot-Netze als neue Bedrohung der Netzwerksicherheit

Angriff der Computer-Zombies

26.10.2006 | Autor / Redakteur: Michael Kretschmer / Peter Schmitz

In einem Bot-Netz kann der Angreifer (Bot Master) seine gesamte Armee von Bots auf das Opfer, etwa den Betreiber einer Webseite, ansetzen. (Quelle: Websense)
In einem Bot-Netz kann der Angreifer (Bot Master) seine gesamte Armee von Bots auf das Opfer, etwa den Betreiber einer Webseite, ansetzen. (Quelle: Websense)

Wie die Spinne im Netz: Aufbau und Verwaltung von Bot-Netzen

In der Anfangsphase wird es ein Bot-Netzbetreiber aus nachvollziehbaren Gründen darauf anlegen, eine möglichst große Zahl von Rechner mit seiner Crimeware auszustatten. Je größer das Reservoir aus dem er schöpfen kann, desto besser. Internet-Security-Experten wie Websense konnten in verschiedenen Fällen nachweisen, dass Bot-Netz-Betreiber unter Einbeziehung von Suchmaschinen im Web gezielt nach Sicherheitslücken und Verwundbarkeiten suchen, um neue Computer unter ihre Kontrolle zu bekommen.

Ist das Bot-Netz, in Form eines virtuellen Verbunds tausender infizierter Clients startklar, wird bei den heute bekannten Varianten meist das Internet-Relay-Chat-Netzwerk (IRC) zur Kommunikation zwischen dem Master (Bot Herder) und der Zombie-Armee (den Bots) eingesetzt. Über einen gemeinsamen Kanal (den Channel) können sich Teilnehmer abstimmen. Häufig ist der Channel mit einem Passwort geschützt und zudem wird der Datenverkehr verschlüsselt.

Das alles macht es den Sicherheitsbehörden schwer, in einer Art Reverse Engineering die Arbeitsweise und die Struktur eines Bot-Netzes nachzuzeichnen. Der Bot Herder bedient als Administrator beziehungsweise Operator den IRC-Server als Relaisstation. Die Bots werden so aus der Ferne gesteuert. Mögliche Aufträge lauten: Beteilige dich an einem Denial-of-Service-Angriff. Suche nach PCs, die mit anderer oder konkurrierender Bot-Software infiziert sind. Deinstalliere bekannte Anti-Viren-Programme usw.

Neben Denial-of-Service-Attacken und der Verbreitung neuer Malware ist der Einsatz von Bot-Netzen als Spam-Relay ein weit verbreitetes Szenario. Hier wiederum treten zwei Varianten auf: Entweder der „Bot-Netz-Eigentümer“ verschickt selbst Spam-Nachrichten, um die Adressaten zu irgendwelchen Aktionen zu veranlassen – möglicherweise einen Dateianhang mit einem bösartigen Programm zu installieren – oder er vermietet seine Infrastruktur an Dritte, die dann beispielsweise Phishing-E-Mails versenden.

Im Internet kursieren in den einschlägigen Foren immer wieder Preislisten zum Botnet Leasing, die zeigen, dass die Vermietung der Infrastruktur ein durchaus lohnendes Nebengeschäft ist. Statt von einem, werden die Mails dann von tausenden von Servern ver-schickt. Eine einfache Rechnung verdeutlicht den Wirkungsgrad: Man mietet 1.000 infizierte PCs und verschickt von jedem 100 Spams. Mit einem Schlag lassen sich so 100.000 Werbebotschaften verschicken. Gleichzeitig bedeutet dies: Die Spamverursacher sind technisch weit schwerer zu lokalisieren und zu neutralisieren.

Seite 4: Die nächste Generation: Bot-Netze mit Peer-to-Peer-Strukturen

 

In die Falle gelockt ...

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2000597 / Malware)