A botnet consists of numerous “zombie” computers and can be used, for instance, to carry out DDoS attacks. Here’s what you should know about the topic.
FOTOKINA | shutterstock.com
Cybercriminals are constantly looking for ways to spread malware on a large scale or launch Distributed Denial of Service (DDoS) attacks. A botnet is particularly well-suited for this purpose.
Botnet – Definition
A botnet is a collection of internet-connected devices that have been compromised by an attacker to carry out DDoS attacks and other tasks as a coordinated “swarm.” The core idea is simple: every computer that joins the botnet becomes a “zombie” machine — a mindless unit within a vast network of identical bots.
“Malware infects a computer, which then reports back to the botnet operator that the machine is ready to blindly follow commands,” explains Nasser Fattah, North America Steering Committee Chair at Shared Assessments. “This happens without the user’s knowledge. The goal is to keep expanding the botnet so that large-scale attacks can be automated and accelerated.”
Botnets – Architecture
Botnets are a form of distributed computing systems that operate over the internet. The individuals or teams running a botnet — known as “controllers” or “herders” — need to recruit as many “zombies” as possible for their army, then coordinate their activities for profit. The architecture that enables the creation and maintenance of botnets consists of several key components:
Botnet Malware: Cybercriminals take control of target machines using malware. There are many ways malware can find its way onto a computer — from phishing and watering hole attacks to exploiting unpatched security vulnerabilities. The malicious code allows attackers to force compromised machines into carrying out actions without the owner ever noticing. “The malware itself often doesn’t try to steal anything or cause damage,” explains Jim Fulton, Vice President at security provider Forcepoint. “Instead, it tries to stay hidden so the botnet software can continue operating undetected.”
Botnet Drones: Once a device has been taken over by an attacker, it becomes a “drone” — essentially a “foot soldier” or “zombie” within the botnet army — though it possesses a certain degree of autonomy and, in some cases, even artificial intelligence. “A botnet drone can recruit other computers and devices with a level of intelligence, making it harder to find and stop,” says Andy Rogers, Senior Assessor at Schellman. “It identifies vulnerable hosts and pulls them into the botnet without the user’s knowledge.”
Any type of internet-connected device can be turned into a botnet drone — from PCs and smartphones to IoT devices. The latter, such as internet-enabled security cameras or cable modems, may even be especially attractive to attackers, as Dave Marcus, Senior Director of Threat Intelligence at LookingGlass Cyber, explains: “With these devices, people tend to forget they’re there because they turn them on once and then don’t think about them anymore. On top of that, many people avoid updating routers and switches for fear of doing something wrong. In both cases, this can leave devices unpatched and therefore vulnerable.”
What’s critically important, however, is that there are large numbers of these botnet drones and they appear legitimate, as Ido Safruti, co-founder and CTO of PerimeterX, points out: “By infecting legitimate devices with malware, botnet operators gain resources that use private IP addresses and look like real users — plus free computing power to carry out tasks.”
Botnet Command & Control: The final piece of the puzzle is the mechanism used to control botnets. Early botnets were typically managed from a single central server. However, this made it relatively easy to take down the entire network by simply shutting off that central hub. Modern botnets operate on a peer-to-peer model, where commands are passed from drone to drone once they recognize each other’s unique malware signatures across the internet. Communication between bot herders and among the bots themselves can happen through various protocols. The old-school chat protocol Internet Relay Chat (IRC) is still frequently used because it’s lightweight and easy to install on bots without consuming many resources. But a range of other protocols are also employed, including Telnet and standard HTTP, which makes detecting the traffic more difficult. Some botnets use particularly creative methods for coordination, posting commands on public websites like Twitter or GitHub.
Just like the botnets themselves, the various components of their architecture are distributed. “Criminal hackers are specialists, and most groups work in a loose alliance with other groups,” says Garret Grajek, CEO of YouAttest. “In the cybercrime world, there might be one group that exploits a new, unpublished vulnerability, another that creates the botnet’s payload, and yet another that runs the command and control center.”
Botnets – Attack Types & Examples
Distributed Denial of Service (DDoS) attacks are probably the most well-known and popular type of attack launched through botnets. In these attacks, hundreds or thousands of compromised computers attempt to overwhelm a server or other online resource with requests, knocking it offline. This wouldn’t be possible without a botnet. Additionally, DDoS attacks are easy to launch since nearly any device that can be compromised has internet connectivity and at least a basic web browser.
But there are many other ways attackers can put a botnet to use. The attackers’ objectives can determine which types of devices they choose to infect, as Marcus explains: “If I want to use my botnet for Bitcoin mining, I might target IP addresses in a specific part of the world because those machines tend to be more powerful — they have a graphics card and a CPU, and the users won’t necessarily notice that mining is happening in the background.”
While the victims of these attacks feel the full force of the criminal energy wielded by those controlling the botnet, the owners of the infected machines themselves are not necessarily
Wenn es nach den Angreifern geht, soll der Besitzer des Computers keinerlei Anzeichen bemerken, die auf die schädlichen Aktivitäten seines Geräts hinweisen. „Was genau passiert, hängt allein davon ab, wie viel der Betreiber bereit ist, in Kauf zu nehmen. Wer eine hochkomplexe Schadsoftware einsetzt, die zahlreiche Aufgaben gleichzeitig erfüllt, riskiert eine höhere Entdeckungswahrscheinlichkeit, da der Nutzer möglicherweise Leistungseinbußen an seinem Rechner bemerkt.”
Heutzutage stehen vor allem DDoS-Angriffe im Mittelpunkt der Aufmerksamkeit, die mit Botnetzen in Verbindung stehen – das allererste Botnetz wurde jedoch mit einem ganz anderen Zweck entwickelt: Spam zu versenden. Im Jahr 2001 errichtete Khan C. Smith eine Armee aus Bots, um sein Spam-Imperium zu erweitern und damit Millionen von Dollar zu verdienen. Schließlich wurde er vom Internetanbieter EarthLink erfolgreich auf Schadensersatz in Höhe von 25 Millionen Dollar verklagt.
Eines der bedeutendsten Botnetze der vergangenen Jahre basierte auf der Schadsoftware Mirai und legte 2016 für kurze Zeit einen Großteil des Internets lahm. Mirai wurde von einem College-Studenten aus New Jersey programmiert und entstand aus einem Konflikt zwischen Server-Anbietern des beliebten Videospiels Minecraft. Das Botnetz richtete sich gezielt gegen internetfähige Fernsehkameras – ein deutlicher Beweis dafür, welche Rolle IoT-Geräte in diesem Kontext spielen.
Doch es gibt noch zahlreiche weitere Beispiele für Botnetze, wie Kevin Breen, Director of Cyber Threat Research bei Immersive Labs, betont: „Größere Botnets wie TrickBot setzen Malware wie Emotet ein, die bei der Verbreitung vor allem auf Social Engineering setzt. Solche Botnetze sind in der Regel robuster und dienen dazu, zusätzliche Schadprogramme wie Banking-Trojaner und Ransomware nachzuladen. In den vergangenen Jahren haben Strafverfolgungsbehörden wiederholt – mit einzelnen Erfolgen – versucht, die großen kriminellen Botnetze zu zerschlagen. Doch diese scheinen sich mit der Zeit immer wieder zu erholen.”
Botnet kaufen – so funktioniert es
Viele Cyberkriminelle erstellen ihre Botnetze nicht für den eigenen Gebrauch, sondern zum Verkauf. Diese Geschäfte laufen mehr oder weniger im Verborgenen ab. Dennoch lässt sich mit einer einfachsten Google-Suche bereits relativ leicht auf Dienste stoßen, die beschönigend als „Stresser” oder „Booter” bezeichnet werden: „Diese SaaS-Angebote lassen sich problemlos – etwa über PayPal – buchen, angeblich um die Stabilität des eigenen Netzwerks zu testen. Manche dieser Anbieter verkaufen ihre Dienste jedoch an jeden – ohne Auftraggeber oder Ziel zu überprüfen”, erklärt Fattah.
Auch der Sicherheitsexperte Breen bestätigt, dass jeder, der Botnet-Software herunterladen möchte, diese auch finden wird: „Wer die richtigen Suchbegriffe verwendet, stößt schnell auf entsprechende Foren, in denen neben passenden Diensten häufig auch Quellcode und geleakte Botnetze angeboten werden. Solche Angebote werden typischerweise von den sogenannten ‚Skript-Kiddies’ genutzt, die damit beispielsweise die Verbreitung von Krypto-Minern vorantreiben wollen.” Die echten Profis hingegen agieren im Darknet und sind schwerer auszumachen: „Spezialisierte Darknet-Marktplätze werden in der Regel moderiert und sind nur auf Einladung zugänglich”, sagt Josh Smith, Analyst für Cyberbedrohungen bei Nuspire. „Hat man jedoch einmal Zugang erhalten, ist der weitere Prozess bemerkenswert kundenfreundlich gestaltet – inklusive eines Reputationssystems für Verkäufer.”
„Viele dieser Dienste bieten eine einfache Benutzeroberfläche, über die ein Botnetz auf eine IP-Adresse oder URL ausgerichtet und der Angriff dann per Knopfdruck gestartet werden kann. Die Nutzer können Websites und Server direkt aus ihrem Browser heraus lahmlegen und bleiben durch die Bezahlung mit Kryptowährungen weitgehend anonym”, erläutert Rogers. „Anspruchsvollere Bedrohungsakteure wie Ransomware-Gruppen arbeiten möglicherweise direkt mit den Betreibern großer Botnetze wie TrickBot zusammen, um großangelegte Spear-Phishing-Kampagnen zu starten”, meint Laurie Iacono, Associate Managing Director of Cyber Risk bei Kroll. „Sobald die Computer infiziert sind, sammelt die Malware Informationen, die der Ransomware dabei helfen, das Netzwerk zu infiltrieren.”
Die Kosten für einen solchen Botnet-Dienst sind dabei vergleichsweise überschaubar, wie Anurag Gurtu, CPO von StrikeReady, offenlegt: „Der Zugang zu einem Botnetz kann bis zu zehn Dollar pro Stunde kosten.” Dabei bekommen die Nutzer das, wofür sie zahlen: „Wenn man einen ganz bestimmten Bot in einer bestimmten Region der Welt haben möchte, steigen die Preise”, sagt Marcus. „In bestimmten Teilen der Welt gibt es leistungsstärkere Computer. Ein Botnetz, das auf Maschinen und IP-Adressen in den USA basiert, ist beispielsweise deutlich teurer als eines innerhalb der EU, da die Rechner in den Vereinigten Staaten leistungsfähiger sind.”
Botnetz-Angriffe abwehren
Der Schutz vor Botnetzen kann zwei verschiedene Formen annehmen:
Entweder verhindern Sie, dass Ihre eigenen Geräte zu Bots werden, oder
Sie wehren Angriffe ab, die über Botnetze gestartet werden.
In beiden Fällen gibt es nur wenige Verteidigungsmaßnahmen, die nicht bereits Teil einer soliden Sicherheitsstrategie sein sollten:
Hacker verwandeln Geräte häufig mithilfe von Malware in Zombie-Rechner, die über Phishing-E-Mails verbreitet wird. Es ist daher ratsam, Ihre Mitarbeiter umfassend im Umgang mit Phishing zu schulen.
Auch unzureichend gesicherte IoT-Geräte werden oft in Botnetze eingebunden. Stellen Sie daher sicher, dass solche Geräte nicht das werksseitig voreingestellte Standardpasswort verwenden.
Gelingt es Cyberkriminellen, Malware auf Ihren Computern einzuschleusen, benötigen Sie eine aktuelle Antivirensoftware, um diese zu erkennen.
Wenn Sie Opfer eines DDoS-Angriffs werden, können Sie den schädlichen Datenverkehr herausfiltern oder Ihre Kapazitäten mithilfe eines Content Delivery Networks erweitern.
Darüber hinaus gibt es auch einige Botnet-spezifische Techniken, die Sie zum Schutz einsetzen können. Breen schlägt beispielsweise vor, auf verdächtigen Datenverkehr zu achten: „Eine Datenflussanalyse klingt kompliziert, kann aber Botnet-Command-and-Control-Verkehr zutage fördern.”
„Wir setzen mehrere Werkzeuge ein, um Botnetze zu stoppen”, erläutert Mark Dehus, Director of Threat Intelligence bei Lumen Black Lotus Labs. „Sobald ein neues Malware-Sample entdeckt wird, können wir beispielsweise die Methoden, mit denen es sich an einen Command & Control-Server anmeldet, durch Reverse Engineering nachvollziehen. Auf diese Weise können wir einen Bot emulieren, der sich mit verdächtigen Servern verbindet, diese validiert und die Befehle überwacht, die sie an die Bots übermitteln. Der Kampf gegen Botnetze und ihre Betreiber ist langwierig, aber wir hoffen, das Blatt wenden zu können.” (fm)
