Als gängige und effektive Methode für Cyberangriffe stellen Botnetze eine enorme Bedrohung für die heutige Internetsicherheit dar. Dieser Artikel stellt das Konzept und die Kontrollmethoden von Botnets sowie die 6 berüchtigten Botnets vor. Ich hoffe, dass ich nach der Lektüre dieses Artikels ein erstes Verständnis von Botnets erlangen kann.
Ein Botnet ist ein Netzwerk, das eine oder mehrere Verbreitungswege verwendet, um eine große Anzahl von Hosts mit einem Bot-Programm (Zombie)-Virus zu infizieren und so ein Netzwerk zu schaffen, das eins-zu-viele zwischen dem Controller und den infizierten Hosts kontrolliert werden kann.
Sie werden manchmal als „Bot-Armeen“ bezeichnet und können von Cyberkriminellen für eine Vielzahl von Aktivitäten verwendet werden, darunter das Versenden von Spam und die Durchführung von Distributed-Denial-of-Service-Angriffen (DDoS).
Jedes mit dem Internet verbundene Gerät kann zu einem Botnet hinzugefügt werden, einschließlich Laptops, Desktops, Smartphones, DVR-Player, drahtlose Router und andere Internet of Things (IoT)-Geräte.
Botnets werden von Command and Control (C&C)-Servern gesteuert, bei denen es sich um Computer handelt, die von Hackern oder Hackergruppen gesteuert werden, die Befehle an Botnets im Botnet senden und auch von den Botnets gesammelte Informationen empfangen können. Der Controller des Botnetzes heißt Bot Botder oder Bot Master.
Mit dem Aufkommen des IoT (Internet of Things) können dem Botnet nun weitere Geräte hinzugefügt werden. Bemerkenswert ist auch, dass viele IoT-Geräte inzwischen unzureichend gesichert sind und meist auf Standardpasswörter und schwer zu aktualisierende Firmware angewiesen sind. Das bedeutet, dass die Größe von Botnets in Zukunft leicht wachsen kann.
Wie kontrolliert das Botnet Ihren Computer?
Ein Botnet kann auf verschiedene Weise von einem Botmaster-Controller gesteuert werden.
Traditionell kann ein Botnet von einem C&C-Server gesteuert werden. In diesem Fall kehrt das Bot-Gerät zu einem vorbestimmten Ort zurück und wartet auf einen Befehl vom Server. Der Bot-Controller sendet den Befehl an den Server, der den Befehl dann an das Bot-Netzwerk weiterleitet, und dann werden die gesammelten Ergebnisse oder Informationen vom Bot-Gerät an diesen zentralen Server zurückgesendet.
Ein zentralisierter Server macht das Botnet jedoch anfälliger für Angriffe und Sabotageversuche. Aus diesem Grund verwenden viele Botnet-Controller heute meist das Peer-to-Peer (P2P)-Modell.
In P2P-Botnets tauschen miteinander verbundene Bot-Geräte Informationen aus, ohne an einen zentralen Server zu berichten, dh infizierte Bot-Geräte senden und empfangen Befehle. Diese Bot-Geräte untersuchen dann zufällige IP-Adressen, um mit anderen infizierten Geräten Kontakt aufzunehmen. Nach der Kontaktaufnahme antwortet das Bot-Gerät mit Informationen wie seiner Softwareversion und einer Liste bekannter Geräte. Wenn der kontaktierte Bot eine neuere Softwareversion hat, aktualisiert sich der andere Bot automatisch auf diese Version. Dieser Ansatz ermöglicht es dem Botnet, zu wachsen und auf dem neuesten Stand zu bleiben, ohne einen zentralen Server kontaktieren zu müssen, was es für Strafverfolgungsbehörden oder andere Behörden schwieriger macht, das Botnet zu deaktivieren.
Die beiden häufigsten Verwendungszwecke von Botnets sind das Versenden von Spam-Kampagnen und die Durchführung von Distributed-Denial-of-Service-Angriffen (DDoS).
Bot-Geräte können auch zum Senden von E-Mail-Malware verwendet werden, und verschiedene Arten von Malware können unterschiedliche Ziele haben, einschließlich des Sammelns von Informationen von infizierten Computern. Dies können Passwörter, Kreditkarteninformationen und alle anderen Informationen sein, die auf dem Schwarzmarkt verkauft werden können. Sensible Unternehmensinformationen können auch gestohlen werden, wenn Geräte im Unternehmensnetzwerk zu Bot-Geräten werden.
Bot-Geräte werden auch häufig für Klickbetrug verwendet, um Websites zu besuchen, um gefälschten Datenverkehr zu erzeugen und Einnahmen für den Besitzer des Bot-Geräts zu erzielen, und sie werden auch oft für Bitcoin-Mining verwendet.
6 berüchtigte Botnets
Viele Botnets sind im Laufe der Geschichte entstanden, aber einige von ihnen waren einflussreicher als andere. Hier sind 6 sehr berühmte Botnets.
Bagle
Bagle ist eines der weltweit ersten Botnets, das für eine massive Spam-Kampagne verwendet wurde. Es entstand im Jahr 2004 und bestand hauptsächlich aus Microsoft Windows-Computergeräten. Bagle ist ein Wurm, der mehr als 200.000 Computer infiziert hat, und es wird geschätzt, dass der Virus mehr als 101 TP1T aller Spams weltweit versendet.
Conficker
Conficker ist ein berüchtigter Computerwurm, der erstmals Ende 2008 auftauchte und das Netzwerksicherheitspersonal heimsuchte.
Die erste Version von Conficker erschien im November 2008 und verbreitete sich schnell über Netzwerkfreigaben und infizierte USB-Laufwerke. Nach einer Zählung hat es bis zu 11 Millionen Computer infiziert. Das macht Conficker zu einem riesigen Botnet, das durch riesige DDoS-Angriffe viel Schaden anrichten könnte, wenn Angreifer damit angreifen wollten. Es gab jedoch keine Angriffe, und selbst jetzt bleiben die wahren Absichten der Macher hinter Conficker ein Rätsel, und es war nie klar, welcher Gruppe es zugeschrieben wurde.
Die Kosten für die Bereinigung von Conficker werden auf bis zu $9 Milliarden geschätzt, und überraschenderweise gibt es immer noch mit Conficker infizierte Computer, obwohl es vor fast einem Jahrzehnt veröffentlicht wurde.
ZeroAccess
Als eines der größten bekannten Botnets entstand 2013 das ZeroAccess-Botnet als Armee-Botnet mit fast 2 Millionen Computern. Aufgrund der Verwendung eines P2P + C&C-Servermodells ist es ein schwierig zu bewältigendes Botnet, aber die Forscher von Symantec untersuchten das Botnet im Jahr 2013 und fanden heraus, dass fast 500.000 der Bot-Geräte Sandboxen (Browser-Sandboxen) hatten.
ZeroAccess wird hauptsächlich für Klickbetrug und Bitcoin-Mining verwendet, und angesichts der Größe des Botnets wird angenommen, dass es auf dem Höhepunkt seiner Aktivität für die dahinter stehenden Controller einen erheblichen Reichtum generiert hat.
Gameover Zeus
Gameover Zeus ist ein riesiges Botnet, das hauptsächlich dazu verwendet wird, die Bankdaten von Leuten zu stehlen. Das Botnet umfasst bis zu 1 Million Computergeräte. Es wird geschätzt, dass das Botnet verwendet wurde, um über $100 Millionen zu stehlen.
Gameover Zeus ist eine Variante der Malware Trojan.ZBot, die noch heute aktiv ist. Gameover Zeus ist eine ausgeklügelte Variante der ursprünglichen Malware, die groß angelegten Finanzbetrug ermöglichen kann, indem sie die Online-Banking-Sitzungen von Tausenden von Opfern kapert. Wie viele aktuelle E-Mail-Malware-Kampagnen wird sie in der Regel über ausgehende E-Mails versendet. Sobald ein infizierter Benutzer seine Banking-Site besucht, fängt die Malware die Sitzung ab, greift auf die Informationen des Opfers zu und stiehlt dessen Geld.
Obwohl Gameover Zeus 2014 entfernt wurde, sind viele Varianten der Zeus-Malware auch heute noch aktiv.
Necurs
Necurs ist derzeit eines der aktivsten und bekanntesten Botnets. Es war 2016 einer der größten Vertreiber bösartiger E-Mails und förderte auch in großem Umfang Locky-Ransomware-Kampagnen. Am 24. Dezember 2016 stellte es jedoch auf mysteriöse Weise den Betrieb ein und blieb fast drei Monate lang inaktiv. In diesem Zeitraum ging die Rate der von Symantec (einer Cybersicherheitsbehörde) entdeckten bösartigen E-Mails dramatisch zurück.
Die Aktivitäten wurden am 20. März wieder aufgenommen und Symantec blockierte allein an diesem Tag fast 2 Millionen bösartige E-Mails. Seit seiner Rückkehr konzentriert sich Necurs jedoch nicht auf das Versenden von bösartigen E-Mail-Kampagnen, sondern auf das Versenden von „Pump and Dump“-Stock-Spam-Kampagnen. Es begann damit, diese Art von Kampagnen zu versenden, bevor es im Dezember verschwand, und hat seine Bemühungen, dies seit seiner Rückkehr fortzusetzen, verstärkt.
Der Zweck des Versendens von Aktien-Spam besteht darin, den Kurs einer Aktie in den Händen des E-Mail-Versenders in die Höhe zu treiben, indem das Opfer dazu ermutigt wird, Aktien desselben Unternehmens zu kaufen. Sobald der Aktienkurs durch die Aktienkäufe des Opfers in die Höhe getrieben wird, verkauft der Spammer alle Aktien. Dadurch sinkt der Aktienkurs dramatisch und die Wahrscheinlichkeit, dass die Opfer ihre Aktien verkaufen, wird unwahrscheinlicher.
Mirai
Die meisten Leute kennen wahrscheinlich Mirai, das in den letzten Monaten des Jahres 2016 Netzwerke auf der ganzen Welt verwüstet hat und eine Reihe von IoT-Geräten verwendet, um DDoS-Angriffe auf verschiedene Ziele auf der ganzen Welt zu starten.
Erste Ziele der DDoS-Attacken von Mirai im September waren die Websites des Hosting-Anbieters OVH sowie des Sicherheitsexperten Brian Krebs. Dabei handelte es sich um massive DDoS-Angriffe, die zu dieser Zeit mit 1 Tbit/s bzw. 620 Gbit/s die größten aller Zeiten waren. Ende September veröffentlichte Mirai ein Update seiner Online-Hacking-Community HackForums und startete drei Wochen später einen massiven DDoS-Angriff gegen den DNS-Anbieter Dyn, um den Benutzerzugriff auf mehrere bekannte Websites, darunter Netflix, Twitter und PayPal, zu blockieren.
Ende November nutzte eine Variante des Mirai-Netzwerks eine Schwachstelle in Routern in Deutschland für den Internetzugang aus, was zu einem Angriff auf fast 1 Million private Internetnutzer führte; die gleiche Schwachstelle betraf auch die Router irischer Internetnutzer.
Das Mirai-Botnetz besteht hauptsächlich aus infizierten Routern und Überwachungskameras, und dieser Vorfall zeigt, dass IoT-Geräte in Bezug auf Sicherheit sehr lasch sind.
5. Übersicht
Botnets gibt es schon seit langer Zeit und sind mit der technologischen Weiterentwicklung gewachsen. Mit dem Wachstum von IoT-Geräten und der zunehmenden Anzahl von Geräten, die mit dem Internet verbunden sind, ist die Geschichte der Botnet-Entwicklung möglicherweise noch lange nicht vorbei.
Deutsch (Sie) 
English 
Français 
日本語 
Italiano 
Polski 
Português 
ไทย 
Bahasa Indonesia 
Español
Was ist Botnet? Wie funktioniert es? Die 6 berüchtigtsten Botnets
Als gängige und effektive Methode für Cyberangriffe stellen Botnetze eine enorme Bedrohung für die heutige Internetsicherheit dar. Dieser Artikel stellt das Konzept und die Kontrollmethoden von Botnets sowie die 6 berüchtigten Botnets vor. Ich hoffe, dass ich nach der Lektüre dieses Artikels ein erstes Verständnis von Botnets erlangen kann.
Was ist ein Botnetz?
Ein Botnet ist ein Netzwerk, das eine oder mehrere Verbreitungswege verwendet, um eine große Anzahl von Hosts mit einem Bot-Programm (Zombie)-Virus zu infizieren und so ein Netzwerk zu schaffen, das eins-zu-viele zwischen dem Controller und den infizierten Hosts kontrolliert werden kann.
Sie werden manchmal als „Bot-Armeen“ bezeichnet und können von Cyberkriminellen für eine Vielzahl von Aktivitäten verwendet werden, darunter das Versenden von Spam und die Durchführung von Distributed-Denial-of-Service-Angriffen (DDoS).
Jedes mit dem Internet verbundene Gerät kann zu einem Botnet hinzugefügt werden, einschließlich Laptops, Desktops, Smartphones, DVR-Player, drahtlose Router und andere Internet of Things (IoT)-Geräte.
Botnets werden von Command and Control (C&C)-Servern gesteuert, bei denen es sich um Computer handelt, die von Hackern oder Hackergruppen gesteuert werden, die Befehle an Botnets im Botnet senden und auch von den Botnets gesammelte Informationen empfangen können. Der Controller des Botnetzes heißt Bot Botder oder Bot Master.
Mit dem Aufkommen des IoT (Internet of Things) können dem Botnet nun weitere Geräte hinzugefügt werden. Bemerkenswert ist auch, dass viele IoT-Geräte inzwischen unzureichend gesichert sind und meist auf Standardpasswörter und schwer zu aktualisierende Firmware angewiesen sind. Das bedeutet, dass die Größe von Botnets in Zukunft leicht wachsen kann.
Wie kontrolliert das Botnet Ihren Computer?
Ein Botnet kann auf verschiedene Weise von einem Botmaster-Controller gesteuert werden.
Traditionell kann ein Botnet von einem C&C-Server gesteuert werden. In diesem Fall kehrt das Bot-Gerät zu einem vorbestimmten Ort zurück und wartet auf einen Befehl vom Server. Der Bot-Controller sendet den Befehl an den Server, der den Befehl dann an das Bot-Netzwerk weiterleitet, und dann werden die gesammelten Ergebnisse oder Informationen vom Bot-Gerät an diesen zentralen Server zurückgesendet.
Ein zentralisierter Server macht das Botnet jedoch anfälliger für Angriffe und Sabotageversuche. Aus diesem Grund verwenden viele Botnet-Controller heute meist das Peer-to-Peer (P2P)-Modell.
In P2P-Botnets tauschen miteinander verbundene Bot-Geräte Informationen aus, ohne an einen zentralen Server zu berichten, dh infizierte Bot-Geräte senden und empfangen Befehle. Diese Bot-Geräte untersuchen dann zufällige IP-Adressen, um mit anderen infizierten Geräten Kontakt aufzunehmen. Nach der Kontaktaufnahme antwortet das Bot-Gerät mit Informationen wie seiner Softwareversion und einer Liste bekannter Geräte. Wenn der kontaktierte Bot eine neuere Softwareversion hat, aktualisiert sich der andere Bot automatisch auf diese Version. Dieser Ansatz ermöglicht es dem Botnet, zu wachsen und auf dem neuesten Stand zu bleiben, ohne einen zentralen Server kontaktieren zu müssen, was es für Strafverfolgungsbehörden oder andere Behörden schwieriger macht, das Botnet zu deaktivieren.
Einsatzmöglichkeiten von Botnets
Die beiden häufigsten Verwendungszwecke von Botnets sind das Versenden von Spam-Kampagnen und die Durchführung von Distributed-Denial-of-Service-Angriffen (DDoS).
Bot-Geräte können auch zum Senden von E-Mail-Malware verwendet werden, und verschiedene Arten von Malware können unterschiedliche Ziele haben, einschließlich des Sammelns von Informationen von infizierten Computern. Dies können Passwörter, Kreditkarteninformationen und alle anderen Informationen sein, die auf dem Schwarzmarkt verkauft werden können. Sensible Unternehmensinformationen können auch gestohlen werden, wenn Geräte im Unternehmensnetzwerk zu Bot-Geräten werden.
Bot-Geräte werden auch häufig für Klickbetrug verwendet, um Websites zu besuchen, um gefälschten Datenverkehr zu erzeugen und Einnahmen für den Besitzer des Bot-Geräts zu erzielen, und sie werden auch oft für Bitcoin-Mining verwendet.
6 berüchtigte Botnets
Viele Botnets sind im Laufe der Geschichte entstanden, aber einige von ihnen waren einflussreicher als andere. Hier sind 6 sehr berühmte Botnets.
Bagle
Bagle ist eines der weltweit ersten Botnets, das für eine massive Spam-Kampagne verwendet wurde. Es entstand im Jahr 2004 und bestand hauptsächlich aus Microsoft Windows-Computergeräten. Bagle ist ein Wurm, der mehr als 200.000 Computer infiziert hat, und es wird geschätzt, dass der Virus mehr als 101 TP1T aller Spams weltweit versendet.
Conficker
Conficker ist ein berüchtigter Computerwurm, der erstmals Ende 2008 auftauchte und das Netzwerksicherheitspersonal heimsuchte.
Die erste Version von Conficker erschien im November 2008 und verbreitete sich schnell über Netzwerkfreigaben und infizierte USB-Laufwerke. Nach einer Zählung hat es bis zu 11 Millionen Computer infiziert. Das macht Conficker zu einem riesigen Botnet, das durch riesige DDoS-Angriffe viel Schaden anrichten könnte, wenn Angreifer damit angreifen wollten. Es gab jedoch keine Angriffe, und selbst jetzt bleiben die wahren Absichten der Macher hinter Conficker ein Rätsel, und es war nie klar, welcher Gruppe es zugeschrieben wurde.
Die Kosten für die Bereinigung von Conficker werden auf bis zu $9 Milliarden geschätzt, und überraschenderweise gibt es immer noch mit Conficker infizierte Computer, obwohl es vor fast einem Jahrzehnt veröffentlicht wurde.
ZeroAccess
Als eines der größten bekannten Botnets entstand 2013 das ZeroAccess-Botnet als Armee-Botnet mit fast 2 Millionen Computern. Aufgrund der Verwendung eines P2P + C&C-Servermodells ist es ein schwierig zu bewältigendes Botnet, aber die Forscher von Symantec untersuchten das Botnet im Jahr 2013 und fanden heraus, dass fast 500.000 der Bot-Geräte Sandboxen (Browser-Sandboxen) hatten.
ZeroAccess wird hauptsächlich für Klickbetrug und Bitcoin-Mining verwendet, und angesichts der Größe des Botnets wird angenommen, dass es auf dem Höhepunkt seiner Aktivität für die dahinter stehenden Controller einen erheblichen Reichtum generiert hat.
Gameover Zeus
Gameover Zeus ist ein riesiges Botnet, das hauptsächlich dazu verwendet wird, die Bankdaten von Leuten zu stehlen. Das Botnet umfasst bis zu 1 Million Computergeräte. Es wird geschätzt, dass das Botnet verwendet wurde, um über $100 Millionen zu stehlen.
Gameover Zeus ist eine Variante der Malware Trojan.ZBot, die noch heute aktiv ist. Gameover Zeus ist eine ausgeklügelte Variante der ursprünglichen Malware, die groß angelegten Finanzbetrug ermöglichen kann, indem sie die Online-Banking-Sitzungen von Tausenden von Opfern kapert. Wie viele aktuelle E-Mail-Malware-Kampagnen wird sie in der Regel über ausgehende E-Mails versendet. Sobald ein infizierter Benutzer seine Banking-Site besucht, fängt die Malware die Sitzung ab, greift auf die Informationen des Opfers zu und stiehlt dessen Geld.
Obwohl Gameover Zeus 2014 entfernt wurde, sind viele Varianten der Zeus-Malware auch heute noch aktiv.
Necurs
Necurs ist derzeit eines der aktivsten und bekanntesten Botnets. Es war 2016 einer der größten Vertreiber bösartiger E-Mails und förderte auch in großem Umfang Locky-Ransomware-Kampagnen. Am 24. Dezember 2016 stellte es jedoch auf mysteriöse Weise den Betrieb ein und blieb fast drei Monate lang inaktiv. In diesem Zeitraum ging die Rate der von Symantec (einer Cybersicherheitsbehörde) entdeckten bösartigen E-Mails dramatisch zurück.
Die Aktivitäten wurden am 20. März wieder aufgenommen und Symantec blockierte allein an diesem Tag fast 2 Millionen bösartige E-Mails. Seit seiner Rückkehr konzentriert sich Necurs jedoch nicht auf das Versenden von bösartigen E-Mail-Kampagnen, sondern auf das Versenden von „Pump and Dump“-Stock-Spam-Kampagnen. Es begann damit, diese Art von Kampagnen zu versenden, bevor es im Dezember verschwand, und hat seine Bemühungen, dies seit seiner Rückkehr fortzusetzen, verstärkt.
Der Zweck des Versendens von Aktien-Spam besteht darin, den Kurs einer Aktie in den Händen des E-Mail-Versenders in die Höhe zu treiben, indem das Opfer dazu ermutigt wird, Aktien desselben Unternehmens zu kaufen. Sobald der Aktienkurs durch die Aktienkäufe des Opfers in die Höhe getrieben wird, verkauft der Spammer alle Aktien. Dadurch sinkt der Aktienkurs dramatisch und die Wahrscheinlichkeit, dass die Opfer ihre Aktien verkaufen, wird unwahrscheinlicher.
Mirai
Die meisten Leute kennen wahrscheinlich Mirai, das in den letzten Monaten des Jahres 2016 Netzwerke auf der ganzen Welt verwüstet hat und eine Reihe von IoT-Geräten verwendet, um DDoS-Angriffe auf verschiedene Ziele auf der ganzen Welt zu starten.
Erste Ziele der DDoS-Attacken von Mirai im September waren die Websites des Hosting-Anbieters OVH sowie des Sicherheitsexperten Brian Krebs. Dabei handelte es sich um massive DDoS-Angriffe, die zu dieser Zeit mit 1 Tbit/s bzw. 620 Gbit/s die größten aller Zeiten waren. Ende September veröffentlichte Mirai ein Update seiner Online-Hacking-Community HackForums und startete drei Wochen später einen massiven DDoS-Angriff gegen den DNS-Anbieter Dyn, um den Benutzerzugriff auf mehrere bekannte Websites, darunter Netflix, Twitter und PayPal, zu blockieren.
Ende November nutzte eine Variante des Mirai-Netzwerks eine Schwachstelle in Routern in Deutschland für den Internetzugang aus, was zu einem Angriff auf fast 1 Million private Internetnutzer führte; die gleiche Schwachstelle betraf auch die Router irischer Internetnutzer.
Das Mirai-Botnetz besteht hauptsächlich aus infizierten Routern und Überwachungskameras, und dieser Vorfall zeigt, dass IoT-Geräte in Bezug auf Sicherheit sehr lasch sind.
5. Übersicht
Botnets gibt es schon seit langer Zeit und sind mit der technologischen Weiterentwicklung gewachsen. Mit dem Wachstum von IoT-Geräten und der zunehmenden Anzahl von Geräten, die mit dem Internet verbunden sind, ist die Geschichte der Botnet-Entwicklung möglicherweise noch lange nicht vorbei.
Zusammenhängende Posts:
Verwandte Seiten