Menu
A+ A A-

Schattenwirtschaft Botnetze

Wie funktioniert ein Botnetz? Was muss ein Cyberkrimineller tun, wenn er ein Zombie-Netz aufbauen will? Und wie können sich die User dagegen wehren? Ein Bericht von Viren-Analyst Yury Namestnikov, Kaspersky Lab.

Innerhalb der letzten zehn Jahre haben sich Botnetze stark gewandelt: von kleinen Netzwerken mit einigen Dutzenden Computern, die zentral gesteuert wurden, zu komplizierten, weit verzweigten Systemen, bestehend aus Millionen von Rechnern mit dezentralisierter Steuerung. Doch was ist der Grund für die Schaffung derart riesiger Zombie-Netze? Diese Frage lässt sich mit einem Wort beantworten: Geldgier.

Ein Botnetz, auch Zombie-Netz genannt, ist ein Zusammenschluss von Computern, die mit einem Schadprogramm infiziert sind. Es ermöglicht Cyberkriminellen die Fernsteuerung der befallenen Rechner, ohne dass Anwender etwas davon bemerken. Zombie-Netze können inzwischen auch ohne größeres Fachwissen aufgebaut und gesteuert werden. Sie sind daher lukrativ einsetzbar. Die Folge: Die Anzahl von Botnetzen wächst.

Damit ein solches Netzwerk entsteht, müssen Anwendercomputer mit einem speziellen Programm – einem Bot – infiziert werden. Bots sind Schadprogramme, die die infizierten Computer zu einem Netzwerk zusammenschließen. Dabei muss man nicht einmal programmieren können. Möchte man ins Cybercrime-Geschäft einsteigen, wird man in einschlägigen Foren fündig, in denen Bots zum Verkauf angeboten werden. Dort können auch Extras wie Obfuskation  und Verschlüsselungscodes für Bots geordert werden, damit sie nicht durch Antivirus-Programme entdeckt werden. Bereits existierende Botnetze können aber auch einfach gestohlen werden.

Vielfältige Verbreitung
Um so viele Anwendercomputer wie möglich mit einem schädlichen Bot-Programm zu infizieren, werden massenhaft Spam-Mails verschickt, Mitteilungen in Foren oder in sozialen Netzwerken gepostet oder Drive-by-Downloads eingesetzt. Außerdem verfügt jedes Bot-Schadprogramm – wie alle Viren und Würmer – über eine Selbstreproduktionsfunktion.

Beim Versenden von Spam oder beim Posten in Foren und sozialen Netzwerken setzen Cyberkriminelle verschiedene Social-Engineering-Tricks ein, um das potenzielle Opfer dazu zu bringen, das Bot-Programm zu installieren. Als Köder dienen zum Beispiel interessante Videos: Will ein Anwender das gepostete Video anschauen, muss er ein spezielles Programm auf seinem Rechner installieren. Nach Download und Start der entsprechenden Datei ist der Computer infiziert. Auch wenn der Anwender das Video immer noch nicht abspielen kann, wird er nach der Infektion keine weiteren Veränderungen auf seinem Computer bemerken. Auf diese Weise wird der Computer unbemerkt zum treuen Diener des Botnetz-Betreibers.
Eine weitere, häufig verwendete Methode ist ein so genannter Drive-by-Download. Dabei installiert sich beim Besuch einer infizierten Website über Sicherheitslücken – meist in den gängigen Internet-Browsern – ein Schadprogramm auf dem PC des Anwenders – natürlich ohne dass er es bemerkt. Um Schwachstellen in Browsern auszunutzen, werden spezielle Programme verwendet: sogenannte Exploits, mit denen nicht nur unbemerkt Schadprogramme auf einen Computer eingeschleust, sondern der PC auch heimlich gestartet werden kann. Der Anwender schöpft keinen Verdacht, dass sein Computer infiziert ist. Das Gefährliche dabei: Wird eine populäre Anwendung gehackt, sind hunderttausende von Anwendern gefährdet. Ein weiterer Verbreitungsweg ist die Selbstverbreitungsfunktion eines Bot-Programms. So kann sich ein Bot beispielsweise durch die Infizierung aller auf dem Rechner verfügbaren ausführbaren Dateien verbreiten. Oder er spürt alle verwundbaren Computer des Netzes auf und infiziert diese.

Die Pacht für ein E-Mail-Botnetz, das etwa 1.000 Mails pro Minute versendet (bei 100 Zombie-Rechnern online), beträgt etwa 2.000 Dollar im Monat. Der Preis für ein fertiges Botnetz – ebenso wie die Ausleihgebühr – ist abhängig von der Anzahl der infizierten Computer. In englischsprachigen Foren erfreuen sich betriebsbereite Botnetze der größten Beliebtheit. Kleine Netze mit nur einigen hundert Bots kosten zwischen 200 und 700 Dollar, der durchschnittliche Preis für einen Bot beträgt 50 Cent. Größere Botnetze gehen für weitaus höhere Summen über den Tisch. Mittlerweile gibt es mehr als 3.600 Zombie-Netzwerke.

Zum gegenwärtigen Zeitpunkt werden Botnetze am effektivsten bekämpft, wenn Antiviren-Experten, Provider und die Strafverfolgungsbehörden eng zusammenarbeiten. Ein Ergebnis einer solchen Zusammenarbeit war beispielsweise die Schließung von McColo. Als das Unternehmen geschlossen wurde, sank das weltweite Spam-Aufkommen um die Hälfte – wenn auch nur kurzfristig. Zur effektiven Bekämpfung von Botnetzen ist die Mithilfe der Anwender ebenfalls sehr wichtig. Denn gerade Heim­anwender stellen den größten Anteil der Zombie-Armeen. Die Vernachlässigung der einfachsten Sicherheitsregeln, wie die Nutzung von Antiviren-Software, die Verwendung sicherer Passwörter für Bankkonten und das Abschalten des Autostarts von Dateien mobiler Datenträger, kann dazu führen, dass Ihr Computer zu einem weiteren Botnetz-Mitglied wird.

back to top