So funktionieren Botnets
Von der Webcam bis zum IoT-Device: Botnets kapern smarte Geräte für groß angelegte Cyber-Angriffe. Erfahren Sie, wie diese Netze funktionieren und wie Unternehmen sich schützen können.
Botnets kapern vernetzte Geräte für groß angelegte Cyber-Angriffe. Experten empfehlen sichere Systeme mit mehreren Schlössern, die Angreifer verzweifeln lassen.
Botnets sind Netze aus gehackten, mit dem Internet vernetzten Geräten, die ohne Wissen von deren Besitzern Spam und Malware verschicken oder Server in die Knie zwingen. Zu den in Botnets verbundenen Geräten können PCs und alle Arten von Smart Devices gehören – auch IoT-Geräte. Kriminelle Hacker-Gruppen oder staatlich gelenkte Angreifer nutzen Botnets, um die Systeme ihrer Opfer zu stören, zu überlasten oder zu infiltrieren. Häufig kommen Botnets auch bei DistributedDenial-of-Service-(DDoS-)Angriffen zum Einsatz. Mit der gebündelten Rechenleistung können aber auch im großen Stil Spam versandt, Login-Daten gestohlen oder Menschen und Unternehmen ausspioniert werden.
Angreifer bauen Botnets, indem sie vernetzte Geräte mit Malware infizieren und anschließend über einen Command-and-Control-Server kontrollieren. Sobald ein Gerät in einem Netz kompromittiert wurde, sind alle anderen anfälligen Devices in diesem Netz ebenfalls gefährdet. 2016 legte das Mirai-Botnet Teile des Internets lahm. Zu den Opfern zählten unter anderen Twitter, Netflix, CNN, eine große russische Bank und das Land Liberia. Mirai kaperte via Malware jede Menge ungeschützte IoTGeräte, darunter viele Überwachungskameras, und griff die Server des auf DNS-Dienste spezialisierten Unternehmens DYN an.
Verschiedene Bot-Typen
Distil Networks, Anbieter von Bot-Abwehrlösungen, hat in seinem „Bad Bot Report“von 2019 unterschiedliche Arten von Botnets und Angriffssymptomen aufgelistet. Das „Price Scraping“ist so ein Beispiel: Angreifer suchen mit Bots Webshops nach Daten zur dynamischen Preisgestaltung ab. Ihre eigenen Preise passen sie dann in Echtzeit so an, dass sie immer etwas günstiger als die Konkurrenz anbieten. Damit beeinflussen sie die Suchalgorithmen bei Anfragen bezüglich des Preises und ziehen so Kundschaft vom Opfer ab. Die geschädigten Shops kämpfen dann mit sinkenden Konversionsraten und schlechteren Suchmaschinen-Rankings, außerdem werden ihre Websites ohne ersichtlichen Grund langsamer oder fallen ganz aus.
Der Bot als Copycat
Gegen Medienhäuser und auch Jobbörsen richtet sich das „Content Scraping“. Hier werden Inhalte kopiert und unerlaubt als Duplikate veröffentlicht. Google bestraft doppelt aufgefundene Inhalte mit schlechten Platzierungen in den Suchergebnissen. Irgendwann werden die betroffenen Unternehmen gar nicht mehr im Netz gefunden.
Auf den Missbrauch von Login-Daten konzentriert sich das „Credential Stuffing/Credential Cracking“. Dabei werden zuvor gestohlene und unerlaubt gehandelte Login-Daten massenhaft für die Anmeldeprozesse verschiedener Websites durchprobiert. Sind die Angreifer erfolgreich, drohen Finanzbetrug, Kontosperrungen, Kundenbeschwerden und vieles mehr. Aus Sicht der Portalbetreiber beeinträchtigen solche Angriffe massiv die Kundenbindung und die Umsatzentwicklung. Besonders betroffen
sind Nutzer, die mit identischen Login-Daten auf einer Vielzahl von Seiten registriert sind.
Beim „Carding/Card Cracking“filtern Angreifer Kreditkartennummern aus, die sie entwendet oder von illegalen Händlern erworben haben. Sie wollen herausfinden, welche Karten noch gültig sind. Hacker verwenden dafür Bots, die sich mit kleinen Testkäufen oder Spenden auf schlecht gesicherten Websites anmelden, um autorisierte Zahlungen vorzunehmen. Gelingt eine solche Transaktion nicht, wird die Karte ausgemustert. Sind die Daten unvollständig, beginnt eine automatisierte Brute-Force-Suche, dann ist von Card Cracking die Rede. Die fehlenden Daten und Sicherheitscodes werden algorithmisch ermittelt, so dass die Karte für Kreditkartenbetrug genutzt werden kann. Auf diese Weise validierte Karten werden dann im großen Stil für betrügerische Einkäufe genutzt (Cashing Out).
DDoS-Angriffe legen Server lahm
Manche Botnets schicken große Wellen an automatisierten Anfragen an bestimmte Websites, um sie zum Absturz zu bringen. Dann ist die Rede von DDoS-Attacken (Distributed Denial of Service). Umsatzeinbußen und Imageschäden können beträchtlich sein. Neben der DDoS- gibt es auch die einfache DoS-Attacke. Hier greifen Hacker über eine einzelne Internet-Verbindung an und überschwemmen ein bestimmtes Ziel mit fingierten Zugriffen, so dass die Server-Ressourcen überlastet werden. Beliebt in cyberkriminellen Kreisen ist auch das Denial of Inventory: Bots sehen sich dabei in Online-Shops um und befördern jede Menge Artikel automatisiert in Warenkörbe. Potenzielle Käufer erhalten dann eine „Out-of-StockNachricht“und wenden sich ab, so dass dem Shop jede Menge Umsatz entgeht. Auch in Reservierungssystemen für Hotels, Restaurants und Urlaubsorten wird auf diese Weise ein „Ausgebucht“vorgetäuscht, was zu erheblichem finanziellem Schaden führen kann.
Beispiele bekannter Botnets
Eines der umtriebigsten Botnets war in den vergangenen Jahren das immer noch aktive „Mirai“. Nachdem 2016 der Quellcode veröffentlicht wurde, hat Mirai nach Informationen des IT-Sicherheitsspezialisten Fortinet sogar noch weitere Funktionen bekommen. So wurde eine Variante entdeckt, die infizierte IoTDevices in Proxy-Server verwandelt, um den Zugang zu diesen Proxies in erpresserischer Weise zu verkaufen. Auch für Cryptojacking lässt sich Mirai einsetzen: Es erlaubt Angreifern, die Hardware eines Opfers zu nutzen, um Kryptowährungen zu schürfen.
Reaper (alias IoTroop) toppt Mirai
Im Herbst 2017 entdeckten Forscher von Check Point ein neues Botnet, das als „Reaper“oder „IoTroop“bekannt wurde. Es kompromittiert IoT-Geräte noch schneller als Mirai und soll das Potenzial haben, große Teile des Internets lahmzulegen, sollten die Macher es in vollem Umfang einsetzen.
Während Mirai schlecht geschützte Geräte mit voreingestellten Nutzernamen und Passwörtern kapert, nutzt Reaper Schwachstellen von etwa einem Dutzend Geräteherstellern aus, darunter D-Link, Netgear und Linksys. Dabei ist Reaper flexibel: Angreifer können den Code des Botnets leicht aktualisieren, um seine Angriffswucht noch zu erhöhen.
Echobot – für den großen DDoS-Angriff
Echobot – nicht zu verwechseln mit dem gleichnamigen Marketing-Tool – ist eine MiraiVariante, die Anfang 2019 entdeckt wurde. Sie nutzt mindestens 26 Exploits, um sich zu verbreiten. Wie viele andere Botnets verwendet Echobot ungepatchte IoT-Geräte, zudem werden aber auch Schwachstellen in Unternehmensanwendungen wie Oracle WebLogic Server oder VMware SD-WAN ausgenutzt. Forscher von Palo Alto Networks wurden als Erste auf das Botnet aufmerksam und analysierten seine Funktionsweise. Die Sicherheitsspezialisten kommen zu dem Schluss, dass es der Zweck von Echobot sei, größere Botnets zu schaffen als die bisher üblichen, um darüber verheerende DDoS-Attacken zu starten.
Emotet – „Geschenk“von E-Mail-Freunden
Emotet liest einem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Dann erhalten Empfänger E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Solche vertrauenswürdig wirkenden Mails verleiten Empfänger zum unbedachten Öffnen schädlicher Dateianhänge oder Links. Emotet lädt weitere Schadsoftware nach, die dann zu Datenabfluss oder vollständigem Kontrollverlust über das System führen können. In mehreren
dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetze neu aufgebaut werden mussten.
Spam-Schleudern Necurs und Gamut
Diese beiden Botnets verteilten in den vergangenen Jahren am meisten Spam und Malware weltweit über infizierte Windows-Rechner. Mit Dating-, Job-, Sex- und Pharmaangeboten bauen sie Beziehungen zu ihren Opfern auf, um dann über Registrierungsseiten persönliche Informationen abzuschöpfen. Necurs wurde schon 2012 entdeckt und verschwindet immer mal wieder von der Bildfläche. Trotzdem hält Cisco das Botnet noch für aktiv und gefährlich.
Was können Anwender tun?
Botnets abzuschalten ist schwierig, weil immer wieder unsichere Geräte verkauft werden und es nahezu unmöglich ist, infizierte Geräte vom Internet abzukapseln. Zudem stehen die Server oft in Ländern, die sich einer Zusammenarbeit in Sachen Cyber-Kriminalität entziehen. Auch können die Schöpfer der Botnets nur schwer ermittelt und belangt werden.
Das Council to Secure the Digital Economy (CSDE) hat gemeinsam mit dem Information Technology Industry Council (ITI), US Telecom und anderen Organisationen einen umfassenden Anti-Botnet-Leitfaden veröffentlicht. Darin sind Maßnahmen für Infrastrukturen, Entwickler und Unternehmen aufgeführt.
Nicht neu ist die Erkenntnis, dass Botnets ungepatchte Schwachstellen nutzen, um sich im Unternehmen von Maschine zu Maschine zu verbreiten. Daher besteht die erste Verteidigungslinie darin, alle Systeme immer auf dem neuesten Update-Stand zu halten. Weil automatische Updates besonders zeitnah erfolgen, sind sie manuellen in aller Regel vorzuziehen.
Alte Hard- und Softwaresysteme, die nicht mehr mit Updates versorgt werden, sollten außer Betrieb genommen werden. Der Leitfaden empfiehlt zudem, Multi-Faktor- und risikobasierte Authentifizierung oder das Least-Privilege-Prinzip für die Zugangskontrolle zu nutzen. Eine der effektivsten Maßnahmen in diesem Zusammenhang sind physische Schlüssel für die Authentifikation. Google verlangt seit 2017 von seinen Mitarbeitern, hardwarebasierte Sicherheitsschlüssel zu nutzen. Als kostengünstige Alternative bietet sich das Smartphone an, das dem Anmeldeprozess eine wirksame Sicherheitsschicht hinzufügt.
CSDE und ITI nennen einige Bereiche in der Abwehr, für die Unternehmen die Hilfe externer Partner in Anspruch nehmen sollten. Neben IT-Herstellern können Computer Emergency Response Teams (CERTs), Verbände, Regierungsstellen oder Informationsdienste aus der Strafverfolgung helfen.
Ein weiterer Bereich, in dem sich Unternehmen nicht allein auf interne Ressourcen verlassen sollten, ist der Schutz vor DDoS-Attacken. Mit Intrusion-Prevention-Systemen oder Firewalls sind solche Angriffe nicht abzuwehren.
Tiefere Schutzmechanismen
Perimeter- und Endpoint-Absicherung sind wichtig, aber nicht ausreichend. Angreifer können ein Netz aus einer Vielzahl verschiedener Angriffsrichtungen unter Druck setzen. Deshalb empfehlen sich mehrere Schutzsysteme, wie bei einer Tür mit mehreren Schlössern. Finden die Angreifer heraus, wie sie ein Schloss knacken können, werden sie eben vom nächsten aufgehalten. Der Anti-BotnetLeitfaden rät Unternehmen, Advanced Analytics einzusetzen, um Nutzer, Daten und Netze abzusichern sowie sicherzustellen, dass die Sicherheitskontrollen korrekt eingestellt sind. Weiterhin gilt es, Netzsegmentierung und -architekturen zu nutzen, die Traffic-Ströme sicher managen. Zum Beispiel sollten IoT-Geräte in einem abgetrennten, isolierten Teil des Netzes liegen.