Skip to content

Botnets - Zombie-Plagen im Internet

Die mit einer spezifischen Schadsoftware infizierten Rechner werden oft zu sog. Botnets zusammengefasst. Wie die Schadsoftware verbreitet wurde, egal ob als Virus, Wurm, Trojaner, Drive-by-Infektion oder wie auch immer, ist dabei egal. Die infizierten Clients werden als Bot oder Zombie bezeichnet, der sie kontrollierende Server als Command&Control-Server. Die einzelnen Botnets werden oft nach der sie bildenden Schadsoftware benannt, aber auch anderen Namen sind möglich.

Die Grundlagen

Botnets habe ich allgemein bereits in About Security #65 beschrieben. Der Schwerpunkt lag damals auf den klassischen IRC-Bots, d.h. Bots, die über IRC-Kanäle gesteuert werden. Die sind inzwischen aber "out", die Cyberkriminellen haben sich neue Steuerkanäle gesucht. Das kann z.B. die direkte Kommunikation über TCP oder UDP sein, der Aufbau eines eigenen Peer-to-Peer-Netzes oder die Nutzung eines unverdächtigen Dritten wie Twitter (weitere Informationen dazu und zu einem Vorgänger), Amazons EC2-Cloud oder (Web-)Anwendungen allgemein. Das Grundprinzip der Botnets ist aber immer gleich: Die Schadsoftware auf den Client wartet auf Anweisungen des Command&Control-Servers und führt diese dann aus. Dabei reicht die Spannweite möglicher Aktionen vom Ausspähen des jeweiligen Benutzers über die Durchführung von Distributed Denial of Service (DDoS) Angriffen und das Versenden von Spam bis zum Installieren weiteren Codes. Symantec nennt die folgenden 4 typischen Ziele eines Botnet-Einsatzes:

  1. Versenden von Spam
  2. Ausspähen von Bankverbindungen bzw. "Ausrauben" von Bankkonten (eine Spezialität z.B. des bereits vorgestellten Schädlingsbaukastens Zeus)
  3. Durchführen von DDoS-Angriffen (z.B. durch die speziell dafür entwickelten Bots BlackEnergy und Darkness oder diese namenlose Variante)
  4. Diebstahl digitaler Güter, z.B. aus Online-Spielen oder in Form von Zugangsdaten dazu

Von Symantec nicht erwähnt, aber ebenfalls üblich ist das Ausspähen aller Informationen, die einen "Identitätsdiebstahl" erlauben (wobei das Wort "Diebstahl" wie auch beim "Datendiebstahl" in die Irre führt).

Botnets aus Viren...

Einige Botnets haben Sie bereits im Rahmen dieser Serie kennengelernt, z.B. die von den Viren Sality und Virut aufgebauten Botnets Sality, das auf Peer-to-Peer-Basis operiert, und Virut, dass im Juli 2010 zumindest teilweise lahm gelegt werden konnte, indem einige der Kontrollkanäle aus dem Verkehr gezogen wurden.

Botnets aus Würmern...

Auch das vom Wurm Storm aufgebaute Storm-Botnet, dass u.a. zum Spam-Versand und für Phishing-Angriffe genutzt wurde, aber auch in Teilen von anderen Cyberkriminellen angemietet werden konnte, wurde bereits erwähnt. Das auch Waledac genannte Botnet stellte Ende 2008 aus unbekannten Gründen seinen Betrieb ein, der Spamversand stoppte ohne ersichtlichen Grund.

Im Dezember 2008 erfolgte die Veröffentlichung des 'Stormfucker', mit dem die Peer-to-Peer-Kommunikation des Botnets gestört und das Botnet übernommen werden konnte. Ende April 2010 wurde Storm dann erneut gesichtet: Neue Varianten des Wurm-Codes wurden zusammen mit einem Fake-Virenscanner verteilt, und auch Spam wurde wieder versendet. Die neue Varianten wurden von McAfee und Mark Schlösser, Tillmann Werner und Felix Leder vom Honeynet Project analysiert. Der Code ist weitgehend mit dem alten Storm-Code identisch, allerdings fehlt die Kommunikation über Peer-to-Peer-Netze. Auch 2011 ist das Botnet noch aktiv und verteilt Pharmazie-Spam - erneut gesteuert über Peer-to-Peer-Kommunikation.

Auch das vom "Social Networking Wurm" Koobface aufgebaute Koobface-Botnet wurde bereits erwähnt. Koobface baut ebenfalls ein Peer-to-Peer-Botnet auf und kann u.a. weitere Schadsoftware nachladen. Die kann auch von anderen Cyberkriminellen stammen, die Koobface-Entwickler lassen sich dass dann im Rahmen eines "pay per install" bezahlen. Außerdem leitet Koobface Suchanfragen auf Seiten mit Werbung um, sammelt Zugangsdaten und Lizenzschlüssel, lässt CAPTCHAs lösen, ... es gibt kaum einen Bereich der Cyberkriminalität, in dem Koobface nicht aktiv ist.

Im November 2010 konnte ein Teil der Command&Control-Server des Botnets aus dem Verkehr gezogen werden, groß geschadet zu haben scheint das den Cyberkriminellen aber nicht - der Wurm ist immer noch aktiv.

Update 23.1.2012:
Am 16. Januar 2012 wurden fünf Verdächtige öffentlich bloss gestellt, die für die Verbreitung von Koobface verantwortlich sein sollen. Daraufhin wurde die Ausgabe neuer Befehle durch die Command&Control-Server eingestellt. Ob dies von Dauer ist, muss sich noch zeigen.
Ende des Updates

Botnets aus Rootkits...

Das auch schon erwähnte Rootkit Alureon war laut Damballa 2010 für das am weitesten verbreitete Botnet verantwortlich (PDF). Und das, obwohl es erst im August 2010 anfing, rasant zu wachsen.

Sie sehen also: Egal wie der Schadcode auf die Rechner gelangt, das Ergebnis ist meist ein neuer Bot in irgend einem Botnet. Und manche Schadsoftware ist auch gleich für mehrere Botnets verantwortlich:

Zeus - ein Schädling(sbaukasten), viele Botnets

Der Schädlingsbaukasten Zeus wurde ja bereits ausführlich beschrieben. Da es nicht "den" Zeus-Schädling gibt, gibt es auch nicht "das" Zeus-Botnet. Stattdessen gibt es eine große Anzahl mehr oder weniger großer separater Botnets. Und deren Anzahl schwankt mitunter stark, z.B. wenn ein Provider für Command&Control-Server vom Internet abgeschnitten oder ein Server von Strafverfolgern oder Antiviren-Herstellern übernommen wird, wie es z.B. im Februar 2011 der Fall war. Und auch die Aufnahme von Zbot in Microsofts Malicious Software Removal Tool im Oktober 2010 kostete die Botnets etliche Mitglieder.

Die Command&Control-Server der Zeus-Botnets werden übrigens vom ZeuS Tracker auf abuse.ch erfasst.

Mobile Botnets

Auch infizierte Smartphones lassen sich in ein Botnet integrieren. Ein erstes Beispiel dafür war der ebenfalls bereits erwähnte iPhone-Wurm Duh, der im November 2009 entdeckt wurde. Der Wurm konnte nur durch einen Jailbreak geöffnete iPhones infizieren, nach der Integration in das Botnet wurde nach für die Cyberkriminellen interessanten Informationen wie z.B. mTANs gesucht.

Duh konnte nur (mehr oder weniger) absichtlich unsicher gemachte iPhones infizieren. Deutlich erfolgreicher war ein Proof-of-Concept von Derek Brown und Daniel Tijerina aus TippingPoints "Digital Vaccine Group", die im Frühjahr 2010 über eine angebliche Wetter-Anwendung ein Botnet aus 8000 Smartphones (iPhones und Android-Geräte) aufbauen konnten. Während der veröffentlichte PoC keinen Schadcode enthielt, wurde die Gefährlichkeit eines solchen Botnets anhand eines weiteren, nicht veröffentlichten Schadprogramms demonstriert. Im Oktober 2010 wurden weitere Forschungsergebnisse zu mobilen Botnet veröffentlicht. Aktuelle Entwicklungen wie das als Trojaner verbreitete DroidDream für Android sind also eine ernstzunehmende Gefahr.

Zum Abschluss noch ein Hinweis auf zwei interessante Beschreibungen von Botnets. Von McAfee gib es unter dem Titel "Botnets Demystified and Simplified" (oder auch "Mommy, how did Daddy become a zombie?") eine einfache Erklärung von Botnets in Form eines Comics. Und von Symantec gibt es einen Überblick über die 5 im Sommer 2010 am weitesten verbreiteten Botnets im Form einer animierten Weltkarte.

In der nächsten Folge werden einige mehr oder weniger erfolgreiche Versuche zur Eliminierung oder zumindest Eindämmung von Botnets beschrieben.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets
Botnets - Zombie-Plagen im Internet
Botnets bekämpfen - mehrere Wege, selten Erfolge
Zeus, Carberp und Khelios - Drei Schläge gegen Botnets
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Binary Planting - Welche Angriffe sind möglich und wie verhindert man sie?

Vorschau anzeigen
Welche Angriffe sind beim auch DLL Preloading genannten Binary Planting möglich und welche Gegenmaßnahmen gibt es für Entwickler und Anwender? Über Binary Planting kann ein Angreifer immer Schadcode in die Anwendung einschleus

Dipl.-Inform. Carsten Eilers am : Ist ASP unsicherer als PHP? Und was ist mit SSH los?

Vorschau anzeigen
ASP-Webanwendungen und SSH-Zugänge sind zur Zeit die Ziele von Massenangriffen. Beides sind eigentlich altbekannte Ziele, nur dass sich das unter ASP-Entwicklern wohl noch nicht rum gesprochen hat. Bei den Angriffen auf SSH gibt es aber wirkli

Dipl.-Inform. Carsten Eilers am : "Koobface Gang" enttarnt - Die erfolgreiche Verkettung digitaler Identitäten

Vorschau anzeigen
Der Wurm "Koobface", der sich vor allem über Social Networks, anfangs vor allen über Facebook, verbreitet hat, ist seit 2008 aktiv, und auch als im November 2010 ein Teil der Command&Control-Server aus dem Verkehr gezogen wurde, k

Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!

Vorschau anzeigen
Der neue Schädling "Flame" sorgt für Panik in den Medien, dabei besteht dafür eigentlich keinerlei Grund. Warum, erfahren Sie hier. Was ist an Flame so besonders? Flame ist... Im folgenden werde ich mich nach den "Questions an

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 3.16 - Windows 10 ein Botnet?

Vorschau anzeigen
Im windows.developer 3.16 ist ein Artikel über die Vorträge erschienen, die auf den 32. Chaos Communication Congress (32C3) zu Windows und Co. gehalten wurden. Wie seit vielen Jahren üblich fand zwischen Weihnachten und Silveste