FAQ Botnet

So funktionieren Mirai, Reaper, Echobot und Co.

24.03.2020 von Jens Dose und Maria Korolov
Botnets kapern fremde "smarte" Geräte für großangelegte Cyber-Angriffe. Erfahren Sie, wie sie funktionieren und wie Unternehmen sich schützen können.

Botnets sind Ansammlungen von gehackten, mit dem Internet vernetzten Geräten. Dabei kann es sich um PCs oder andere Smart Devices (etwa IoT-Geräte) handeln. Sie dienen als Multiplikator für einzelne Angreifer, kriminelle Hacker-Gruppen oder staatlich gelenkte Attacken, die die Systeme ihrer Opfer stören oder infiltrieren wollen. Normalerweise kommen sie bei Distributed-Denial-of-Service (DDoS)-Angriffen zum Einsatz, können aber auch andere Zwecke erfüllen. Die gebündelte Rechenleistung eines Botnets ermöglicht es, im großen Stil Spam zu versenden, Login-Daten zu stehlen oder Menschen und Unternehmen auszuspionieren.

Botnets werden häufig für Denial-of-Service-Attacken verwendet, bei denen mit gekaperten vernetzten Geräten so viel Traffic erzeugt wird, dass der angegriffene Dienst wegen Überlastung ausfällt.
Foto: BeeBright - shutterstock.com

Angreifer bauen Botnets, indem sie vernetzte Geräte mit Malware infizieren und anschließend mit einem Command-and-Control-Server kontrollieren. Sobald ein Gerät in einem bestimmten Netzwerk kompromittiert wurde, sind auch alle anderen anfälligen Devices darin gefährdet. 2016 legte das Mirai-Botnet große Teile des Internets lahm. Zu den Opfern zählten unter anderen Twitter, Netflix, CNN, eine große russische Bank und das gesamte Land Liberia. Mirai kaperte via Malware ungeschützte Internet-of-Things (IoT)-Geräte wie Überwachungskameras und griff die Server des auf DNS-Dienste spezialisierten Unternehmens Dyn an.

Verschiedene Bot-Typen

Distil Networks, Anbieter von Bot-Abwehrlösungen, hat in seinem "Bad Bot Report" unterschiedliche Arten von Botnets und Angriffs-Symptomen aufgelistet.

Price Scraping

Angreifer suchen mit Bots die E-Commerce-Webshops eines Wettbewerbers nach Daten zur dynamischen Preisgestaltung ab. Ihre eigenen Preise passen sie dann in Echtzeit so an, dass sie immer niedriger als die Konkurrenz sind. Damit beeinflussen sie die Suchalgorithmen bei Anfragen bezüglich des Preises und ziehen so Kundschaft vom Opfer ab.

Symptome:

Content Scraping

Gehört kommerzieller Content zum Kerngeschäft des Opfers (Job-Börsen, Medienhäuser etc.), können Angreifer ihm schaden, indem sie die Inhalte stehlen und veröffentlichen. Dieser duplizierte Content im Internet schwächt das SEO-Ranking und damit die Auffindbarkeit des Opfers.

Symptome:

Credential Stuffing / Cracking

Gestohlene Login-Daten werden massenhaft auf Webseiten durchprobiert. Ist der Angreifer erfolgreich, drohen gesperrte Konten, Finanzbetrug und häufigere Beschwerden von Kunden. Das beeinträchtigt die Kundenbindung und den Umsatz.

Symptome:

Account Aggregation

Zielt auf Nachrichtenseiten, soziale Medien und ähnliches. Gratis Accounts (beispielsweise aus Werbeaktionen) werden genutzt, um Nachrichten zu spammen oder Propaganda zu verbreiten. Außerdem können so Werbegeschenke wie Gratis-Treuepunkte oder Gutschriften missbraucht werden.

Symptome:

Carding / Card Cracking

Angreifer testen Kreditkartennummern, um fehlende Informationen wie Datum oder Kartenprüfnummern herauszufinden. Damit verschlechtert sich der Fraud Score (punktzahlbasierte Betrugserkennung) des Opfers.

Symptome:

Denial of Service

Durch gehäufte automatisierte Anfragen an eine Webseite wird deren Performance stark beeinträchtigt bis hin zum Service-Ausfall. Ist die Seite nicht verfügbar, drohen Umsatzeinbußen und Image-Schäden.

Symptome:

Diebstahl von Guthaben auf Geschenkgutscheinen

Angreifer stehlen Geld aus Geschenkgutschein-Accounts mit Guthaben. Dies führt zu schlechter Kundenzufriedenheit und Verlusten im Vertrieb.

Symptome:

Denial of Inventory

Bots halten Artikel in Warenkörben, um legitimen Kunden den Zugriff zu verweigern.

Symptome:

Coinminer

Die Sicherheitsforscher von Eset haben Ende 2019 ein Coinmining-Botnet aufgedeckt, das wahrscheinlich seit 2018 aktiv ist und von der Hackergruppe Stantinko betrieben wird. Diese Art Botnet (auch Cryptominer genannt) infiziert Rechner mit Malware, die deren Rechenleistung unbemerkt "kapert", um für die Hacker Kryptowährungen wie Bitcoin, Monero, Ethereum oder Zcash zu schürfen.

Beispiele bekannter Botnets

Mirai

Das Mirai-Botnet ist noch aktiv. Immer wieder tauchen neue Varianten oder Derivate der Malware auf. Seit der Quellcode 2016 veröffentlicht wurde, soll Mirai laut einem Report von Fortinet (PDF) sogar weitere Funktionen bekommen haben. Darunter fällt etwa, infizierte Geräte zu Schwärmen aus Malware-Proxies und Krypto-Minern zu machen. Zudem seien laut Fortinet Exploits hinzugefügt worden, die auf bekannte und unbekannte Schwachstellen abzielen.

Reaper (alias IoTroop)

Im Herbst 2017 entdeckten Forscher von Check Point ein neues Botnet, das als "Reaper" oder "IoTroop" bekannt wurde. Es kompromittiert IoT-Geräte noch schneller als Mirai. Die Malware soll das Potenzial haben, das gesamte Internet lahm zu legen, sollten die Macher es in vollem Umfang einsetzen.

Wo Mirai anfällige Geräte infiziert, die voreingestellte Nutzernamen und Passwörter verwendeten, geht Reaper noch einen Schritt weiter. Es nutzt mindestens neun verschiedene Schwachstellen von etwa einem Dutzend Gerätehersteller aus, darunter D-Link, Netgear und Linksys. Zudem ist es flexibel, da Angreifer den Code des Botnets leicht aktualisieren können, um es noch schädlicher zu machen.

Echobot

Echobot (nicht zu verwechseln mit dem gleichnamigen Marketing-Tool) ist eine Mirai-Variante, die Anfang 2019 entdeckt wurde. Sie nutzt mindestens 26 Exploits, um sich zu verbreiten. Wie viele andere Botnets verwendet Echobot ungepatchte IoT-Geräte, zudem werden aber auch Schwachstellen in Unternehmensanwendungen wie Oracle WebLogic und VMware SD-WAN ausgenutzt.

Palo Alto Networks wurden als erste auf das Botnet aufmerksam und analysierte seine Funktionsweise. Die Sicherheitsspezialisten kommen zu dem Schluss, dass es der Zweck von Echobot ist, größere Botnets zu schaffen als bisher, um verheerende DDoS-Attacken zu starten.

Gamut

Das Hauptziel dieses Botnets besteht darin, Spam im großen Umfang zu generieren, um eine bestimmte schädliche Payload auszuführen oder ihre Opfer dazu zu bringen, eine bestimmte Aktion auszuführen. Laut dem Bericht "E-Mail: Click with Caution" von Cisco hat die Malware folgende Besonderheiten:

Gamut scheint sich darauf zu spezialisieren, mit Dating-, Jobangebots- oder Pharma-Spam-Mails eine Beziehung zu den Opfern aufbauen zu wollen. Am Ende soll es den Angreifern darum gehen, über falsche Registrierungsseiten persönliche Informationen abzuschöpfen.

Andere ähnliche Botnets wurden mittlerweile zerschlagen. 2020 setzte Microsoft gemeinsam mit Partnern aus 35 Ländern dem Spam-Netzwerk Necurs ein Ende. 2021 gingen das deutsche BKA und die Frankfurter Generalstaatsanwaltschaft gegen die Drahtzieher hinter Emotet vor, das bis dahin zu den gefährlichsten Schadprogrammen weltweit zählte.

Was können Kunden und Hersteller gegen Botnets tun?

Botnets abzuschalten ist sehr schwierig. Die Hauptgründe dafür sind:

Gehen Kunden in einen Laden und kaufen sich ein vernetztes Gerät wie eine Sicherheitskamera, achten sie meist auf die Features, die Marke und vor allem den Preis. Sicherheit ist selten Teil der Kaufentscheidung. Hinzu kommt: "Da IoT-Geräte so günstig sind, ist es eher unwahrscheinlich, dass ein guter Wartungsplan existiert oder Updates schnell bereitgestellt werden," urteilt Ryan Spanier, Forschungsdirektor beim Schweizer Sicherheitsanbieter Kudelski Security.

Weil weiterhin kostengünstige, unsichere Geräte verkauft werden, steigt die Anzahl anfälliger Endgeräte. Laut einer Analyse der Londoner Marktforscher IHS Markit sollen bis 2030 rund 125 Milliarden vernetzte Geräte im Umlauf sein (von knapp 27 Milliarden im Jahr 2017).

Für Hersteller gibt es laut Spanier bisher wenig Anreize, daran etwas zu ändern. Den meisten von ihnen würden keine Konsequenzen drohen, wenn sie unsicherer Geräte verkaufen. Allerdings habe die US-Regierung in den letzten Jahren begonnen, Hersteller mit Bußgeldern zu belegen.

So habe die US-Handelsbehörde FTC 2017 ein Bußgeld gegen D-Link verhängt. Der Hersteller habe Router und IP-Kameras verkauft, die zahlreiche bekannte und vermeidbare Sicherheitslücken aufwiesen - etwa hartkodierte, unveränderliche Login-Informationen. Allerdings hat ein Bundesrichter die Hälfte der Beschwerden der Behörde fallengelassen, da die FTC keine tatsächlichen Fälle belegen konnte, in denen ein Kunde zu Schaden gekommen sei. Im Rahmen der Beilegung des Verfahrens 2019 wurde D-Link jedoch verpflichtet, sich bis 2030 alle zwei Jahre einem Security-Audit durch einen unabhängigen Dritten zu unterziehen.

Wie können Botnets gefunden werden?

Botnets werden in der Regel von einem zentralen Command-Server kontrolliert. Theoretisch sollte es also möglich sein, diesen Server abzuschalten, den Traffic zu den infizierten Geräten zurück zu verfolgen und sie von der Malware zu säubern. Das ist jedoch in der Praxis nicht so einfach.

Wenn ein Botnet so groß ist, dass es sich auf das Internet auswirkt, könnten sich die Service-Anbieter (ISPs) zusammentun, um herauszufinden, was los ist und versuchen, den Traffic einzudämmen. Das war laut Spanier bei dem Mirai-Botnet der Fall. Wenn es aber kleiner ist und beispielsweise "nur" Spam verbreitet, bezweifelt er, dass die ISPs so einen Aufwand betreiben. Einige ISPs, besonders im Consumer-Bereich, hätten zwar Mittel und Wege, um ihre Kunden zu alarmieren, doch das geschehe jedoch kaum, so dass ein Botnet davon nicht beeinträchtigt werde. "Zudem ist es schwierig, Botnet-Traffic aufzuspüren", sagt Spanier. Bei Mirai sei das relativ einfach gewesen, da es sich auf spezielle Weise verbreitet hat und Security-Forscher neue Informationen schnellstmöglich miteinander ausgetauscht haben. Das sei nicht oft der Fall.

Zudem versuchen Botnets, ihre Herkunft zu verschleiern. Security-Anbieter Akamai verfolgt etwa ein Botnet, das seine tatsächlichen IP-Adressen verschleiert und stattdessen via Spoofing vorgibt, solche aus einem Adressraum zu nutzen, der eigentlich Fortune-100-Unternehmen zugewiesen ist. Diese Methode nennt sich "Fast Flux". Akamai vermutet, dass diese Adressen Fälschungen sind, die es dem Botnet erlauben, die positive Reputation der nachgeahmten Adressen zu nutzen, um leichter Schaden anrichten zu können.

Einige Sicherheitsunternehmen versuchen mit Infrastruktur-Providern zusammenzuarbeiten, um infizierte Geräte ausfindig zu machen. "Wir arbeiten mit allen ISPs dieser Welt zusammen", erklärt Adam Meyers, VP beim Endpoint-Security-Anbieter CrowdStrike. Das Unternehmen informiert die Anbieter darüber, welche Geräte mit dem Sink Hole - einer Art Fake-DNS-Server - von CrowdStrike kommunizieren. Gleichzeitig wird der Traffic zu bekannten Botnet-Domains blockiert. Die ISPs müssen anschließend die Besitzer der entsprechenden Devices ausfindig machen und diese absichern. Das können Millionen von Geräten sein. Oft gibt es keine Option für Remote-Updates, so dass jemand zu den Kunden fahren und Patches installieren muss. Oder es gibt überhaupt keine Fixes, da der Hersteller das Thema Security vernachlässigt. Zudem befinden sich Geräte wie Sicherheitskameras oder vernetzte Sensoren häufig an abgelegenen Orten. "Es ist eine große Herausforderung, solche Probleme zu beheben", urteilt Meyer.

Chris Morales, Manager beim KI-Sicherheitsanbieter Vectra Networks, merkt an, dass viele Nutzer nie herausfinden würden, dass sie Teil eines Botnets sind. Sie hätten keine Sicherheitskontrollen, um Botnet-Aktivität in ihren eigenen Netzwerken zu überwachen. Unternehmen hätten zwar mehr Tools zur Verfügung, doch Botnets zu finden, habe oft nicht oberste Priorität. "Security-Teams legen oft mehr Wert auf Angriffe gegen ihre eigenen Ressourcen, anstatt sich mit Attacken zu beschäftigen, die aus ihrem Netzwerk heraus externe Ziele anvisieren", schließt Meyer.

Wie lassen sich Botnet-Angriffe verhindern?

Das Council to Secure the Digital Economy (CSDE) hat gemeinsam mit dem Information Technology Industry Council (ITI), USTelecom und anderen Organisationen einen umfassenden Anti-Botnet-Leitfaden veröffentlicht. Darin sind detaillierte Gegenmaßnahmen für Infrastrukturen, Entwickler und Unternehmen aufgeführt:

Updates, Updates, Updates

Botnets nutzen ungepatchte Schwachstellen, um sich im Unternehmen von Maschine zu Maschine zu verbreiten. Daher ist die erste Verteidigungslinie, alle Systeme stets auf dem neuesten Update-Stand zu halten. Die CSDE rät, Patches sofort nach der Veröffentlichung zu installieren. In diesem Zusammenhang sind automatische Updates gegenüber manuellen zu bevorzugen.

Einige Unternehmen ziehen es vor, Updates vorerst nicht einzuspielen, um sie auf Kompatibilitätsschwierigkeiten und andere Probleme hin zu untersuchen. Dadurch kann es jedoch zu erheblichen Verzögerungen kommen, die Angreifern in die Hände spielen. Einige Systeme werden dabei womöglich ganz vergessen und kommen gar nicht erst auf die Update-Liste.

Unternehmen, die keine automatischen Updates nutzen, sollten ihre Strategie überdenken. "Hersteller werden immer besser darin, hinsichtlich Stabilität und Funktionalität zu testen", führt Craig Williams, Manager bei Talos, der Threat-Intelligence-Abteilung von Cisco Systems, aus. Das Risiko für Ausfälle durch Updates sei geringer geworden. Dabei käme es nicht nur bei Anwendungen und Betriebssystemen auf automatische Updates an. Auch Hardware sollte ohne manuelles Zutun gepatcht werden.

Da Legacy-Hard- und -Software meist nicht mehr mit Updates versorgt werden, rät der Leitfaden dazu, sie außer Betrieb zu nehmen.

Zugriff einschränken

Der Leitfaden rät ferner dazu, Best Practices für die Zugangskontrolle einzusetzen. Darunter fallen Multi-Faktor- und risikobasierte Authentifizierung oder das Least-Privilege-Prinzip. Nach der Infektion einer Maschine nutzen Botnets auch Zugangsinformationen, um sich zu verbreiten. Ist der Zugriff auf das nötigste beschränkt, lässt sich das Botnet auf einen Ort reduzieren, wo es weniger Schaden anrichten und besser zu entfernen ist.

Eine der effektivsten Maßnahmen in diesem Zusammenhang sind physische Schlüssel für die Authentifikation. Google fordert beispielsweise seit 2017 von seinen Mitarbeitern, physische Sicherheitsschlüssel zu nutzen. Laut dem Leitfaden sei seitdem kein einziger Mitarbeiter-Account Opfer von Phishing geworden. "Leider können viele Unternehmen sich das nicht leisten", sagt Williams. Neben den Kosten für die Technologie sei zudem das Risiko hoch, dass Mitarbeiter Schlüssel verlieren.

Smartphone-basierte Sicherheitsfaktoren für die Authentifikation können dieses Problem umschiffen. Laut Williams sei diese Variante vergleichsweise kostengünstig und füge dem Anmeldeprozess eine wirksame Sicherheitsschicht hinzu. Angreifer müssten im Normalfall das Smartphone eines Mitarbeiters physisch kompromittieren, so Williams. Zwar sei es auch möglich, über Codeausführung auf dem Gerät SMS abzufangen, aber diese Art von Problemen sei sehr selten.

Suchen Sie sich Hilfe

Der Leitfaden schlägt einige Bereiche in der Abwehr vor, bei denen es sich für Unternehmen lohnen kann, die Hilfe externer Partner in Anspruch zu nehmen. So existieren zahlreiche Kanäle, auf denen Betriebe Informationen zu Bedrohungen austauschen können. Darunter fallen etwa Computer Emergency Response Teams (CERTs), Branchenverbände, Regierungsstellen oder Informationsdienste aus der Strafverfolgung. Zudem gibt es auch Plattformen, die von bestimmten Herstellern finanziert werden.

Ein weiterer Bereich, bei dem Unternehmen sich nicht allein auf interne Ressourcen verlassen sollten, ist der Schutz vor DDoS-Attacken. "Generell will man DDoS so weit weg von sich selbst stoppen, wie es geht", sagt Talos-Manager Williams. Viele Unternehmen würden glauben, ein Intrusion-Prevention-System oder eine Firewall würde eine DDoS-Attacke aufhalten. Das sei aber nicht der Fall, schließt Williams.

Tiefere Schutzmechanismen

Perimeter- und Endpoint-Absicherung sind nicht mehr genug, da die Angreifer laut Williams heutzutage sehr kreativ sind. Sie könnten das Netzwerk aus einer Vielzahl verschiedener Angriffsrichtungen unter Druck setzen. Habe man mehrere Schutzsysteme im Einsatz sei das wie eine Tür mit mehreren Schlössern. Finden die Angreifer heraus, wie sie eines umgehen können, halten sie die anderen weiterhin auf.

Der Anti-Botnet-Leitfaden rät Unternehmen, Advanced Analytics einzusetzen, um Nutzer, Daten und Netzwerke abzusichern sowie sicherzustellen, dass die Sicherheitskontrollen korrekt eingestellt sind. Weiterhin gilt es, Netzwerksegmentierung und -Architekturen einzusetzen, die Traffic-Ströme sicher managen. So sollten IoT-Geräte in einem abgetrennten, isolierten Teil des Netzwerks liegen.

Das Mirai-Botnet nutzte etwa unsichere IoT-Geräte aus. "Wenn solche Geräte, die nicht gepatcht werden können, in demselben Netzwerk laufen wie das restliche Unternehmen, ist das ein erblicher zusätzlicher Risikofaktor, der sich eigentlich vermeiden lässt", urteilt Williams.

Können Botnets unschädlich gemacht werden?

"Wird ein Botnet von zentralen Servern kontrolliert, stellt es die Aktivität ein, sobald die Server entfernt werden. Aber Botnets fangen mittlerweile an, sich wie Mesh-Strukturen zu verhalten", skizziert Tony Giandomenico, Security-Forscher bei Fortinet, die Entwicklung, "sie nutzen Peer-to-Peer-Kommunikation, die sie sehr widerstandsfähig machen." Es seien bereits ein paar Botnets bekannt, die in einem dezentralisierten Mesh-Modus operieren, darunter Hajime, Hide N' Seek und TheMoon.

Ein weiteres Problem betrifft nicht die Botnets selbst, sondern deren Kunden. DDoS-as-a-Service-Anbieter bieten ihre Botnets feil, um für zahlende Klienten großangelegte DDoS-Kampagnen zu starten. Im Frühjahr 2018 nahmen Behörden aus Großbritannien und den Niederlanden gemeinsam mit webstresser.org einen der größten Betreiber einer solchen Plattform vom Netz. Sie nahmen dessen Administratoren im Vereinigten Königreich, in Kroatien, Kanada und Serbien fest. Der Dienst hatte 136.000 registrierte Nutzer und war laut Europol für vier Millionen Angriffe verantwortlich. Einfache DDoS-Services konnten die Kunden bereits für 15 Euro im Monat buchen. Laut einem Bericht von Akamai vom Sommer 2018 war das jedoch nur eine von vielen solcher Seiten und bisher gibt es keine Anzeichen dafür, dass DDoS-Angriffe zurückgehen würden.

Viele Behörden versuchen laut CrowdStrike-Manager Meyers auch, diejenigen zu verfolgen, die die Botnets erschaffen. So wurde 2017 Peter "Severa" Levashov, der Hacker hinter den Spam-Botnets Waledac und Kelihos, während eines Spanien-Urlaubs festgenommen. Die Aktion erforderte viel internationale Abstimmung zwischen dem US-Justizministerium, dem FBI und der Spanischen Polizei. Zusätzlich bedurfte es technischer Expertise, um das Botnet unschädlich zu machen. "Kelihos wurde davor bereits fünf Mal zerschlagen", erzählt Meyers. Da der Autor dahinter aber noch auf freiem Fuß war, konnte er es immer wieder neu starten, zeitweise sogar binnen weniger Stunden nach dem Ausfall. Daher musste Levashov dingfest gemacht werden, um das Botnet langfristig aus dem Verkehr zu ziehen.