Botnet-Malware: Was steckt dahinter und wie schütze ich mich?

Malware oder schadhafter Code ist schon seit mehr als 40 Jahren in irgendeiner Form im Umlauf. Aber ein Einsatz von Malware zur Fernsteuerung verschiedener Computer(gruppen), die als ein sogenanntes Botnet organisiert sind, ist ein Phänomen des 21. Jahrhunderts. Botnets sind in den letzten zehn Jahren für einige der kostspieligsten Sicherheitsvorfälle verantwortlich. Es steckt jede Menge Arbeit in der Bekämpfung – oder noch besser -Ausschaltung dieser Botnets.

Vor kurzem hatte ich die Gelegenheit zu einem Interview mit jemanden, der sehr viel Zeit in die Bekämpfung von Botnets investiert hat: Pierre-Marc Bureau, Security Intelligence Program Manager von ESET. Ich bat ihn, mir zu erklären, was Botnets sind, welche Gefahren von ihnen ausgehen und wie man sich vor ihnen schützt.

Was genau ist ein Botnet, wie funktioniert es und wie verbreitet es sich?

Das Wort Botnet setzt sich aus zwei Komponenten zusammen: dem Wort Bot und Net. Bot ist die Abkürzung für Roboter, wie wir manchmal einen infizierten Computer bezeichnen. Net kommt von Netzwerk, eine Gruppe an Systemen, die miteinander verbunden sind. Die Personen, die Malware-Programme schreiben und installieren, können sich nicht ständig manuell in jeden einzelnen von ihnen infizierten Computer einloggen. Deswegen benutzen sie Botnets, um eine große Anzahl an befallenen Systemen zu steuern, und das automatisch. Ein Botnet ist ein Netzwerk an infizierten Computern, das für die Verbreitung von Malware genutzt wird.

Wie finde ich heraus, dass mein Computer Teil eines Botnets ist? Hat es Auswirkungen auf die Rechnerleistung?pbureau

Wird ein Computer Teil eines Botnets, kann er unter anderem darauf programmiert sein, Spam zu versenden oder Anfragen an eine Webseite zu stellen, bis sie zusammenbricht. Womöglich bemerkt es der Nutzer daran, dass seine Internetverbindungen viel langsamer laufen als sonst.

Ob sein Rechner infiziert ist, kann er auch über verschiedene Tools herausfinden, typischerweise mit einer Antivirensoftware. Technisch versierte Nutzer verwenden Werkzeuge wie den ESET SysInspector oder prüfen, welche Prozesse auf dem PC laufen, welche installiert sind und können dadurch eine mögliche Infizierung ableiten. Allerdings ist es eben nicht immer einfach zu klären, ob ein Computer Bestandteil eines infizierten Netzwerks ist.

Wer steckt hinter Botnets und wozu werden sie benutzt?

Botnets werden von Kriminellen für verschiedene Zwecke eingesetzt – von Datenklau bis Spamversand. Wie bei anderen Dingen gilt auch hier: Je mehr Ressourcen, desto schneller die Ergebnisse. Unterschiedlichste Arten von Menschen betreiben Botnets. Kriminelle Banden nutzen sie, um an Bankinformationen zu gelangen und bringen die Nutzer so um ihr Geld. Andere Betrüger spionieren ihre Opfer aus, um sie dann zu erpressen.

Welche Rolle spielt beim Botnet der Command & Control Server? Wenn man den lahmlegt, schaltet man dadurch auch das gesamte Botnet aus?

Beim Command & Control Server (auch C&C oder C2) handelt es sich sozusagen um das Herzstück, den zentralen Server, der alle infizierten Computer miteinander verbindet. In der Regel ist es so, dass durch die Ausschaltung des C&C Servers das gesamte Botnet lahmgelegt wird.

Aber es gibt Ausnahmen: erstens die Botnets, die Peer-to-Peer Netzwerke zur Kommunikation nutzen, was bedeutet, dass sie über keine C&C Server verfügen, die man ausschalten könnte. Zweitens – und diese Fälle sehen wir immer häufiger – die Botnets, die viele C&C Server einsetzen. Sie befinden sich in den verschiedensten Ländern und sind so unterschiedlichen Rechtssystemen unterworfen, was es natürlich umso schwerer macht, sie alle gleichzeitig abzuschalten.

Welches stellen die größten Herausforderungen für Heimanwender und Unternehmen dar, wenn es um Botnets geht?

Die mit Botnets verbundenen Risiken sind die gleichen wie die mit schadhafter Software generell. Die Risiken sind vielfältig: Datenklau wie geistiges Eigentum, Entwürfe oder Passwörter, die den Zugang zu wichtigen Quellen (z.B. Online-Spiele) ermöglichen. Infizierte Rechner können aber auch für den Versand von Spam oder zur Überlastung von Servern genutzt werden.

Für das Verständnis ist entscheidend, dass –wenn einmal ein Computer von Malware dieser Art befallen ist – der Nutzer keine Kontrolle mehr über ihn hat. Er wird von jemanden gesteuert und missbraucht, der am anderen Ende der Welt sitzen könnte und von dort aus alle möglichen illegalen Geschäfte abwickelt.

Wer ist denn durch Botnets gefährdeter? Der Anwender zu Hause oder Unternehmen?

Der Grat zwischen firmeneigenen und privaten Geräten und Netzwerken verschwimmt immer mehr. Wir alle nehmen private Geräte mit zur Arbeit und umgekehrt. Meiner Meinung nach stellen Botnets eine Bedrohung für beide Seiten dar. In der Regel haben Unternehmen strengere Sicherheits- und Überwachungsrichtlinien. Die Erkennung und die Abwehr von Botnets sollten in Firmennetzwerken also einfacher sein. Doch es gibt eben dort auch wertvollere Daten, die es sich zu stehlen lohnt.

Gibt es Menschen oder Nutzergruppen, die gefährdeter sind als andere?

Nein, eigentlich nicht. Es gibt verschiedene Arten an Bedrohungen, die gezielt für verschiedene Nutzergruppen eingesetzt werden.

Blicken wir zurück, welche Botnets sind die bekanntesten, größten und gefährlichsten?

Conficker ist wahrscheinlich das Botnet, was die meiste Aufmerksamkeit erregt hat und bisher auch eines der größten war. Damals wurden Millionen von Hosts sehr schnell infiziert. Die Forschung zeigte viel Interesse dafür und richtete umgehend eine Arbeitsgruppe zur Bekämpfung der Botnets ein. Dadurch wurde dieses Netzwerk nie vom Betreiber genutzt. Andere bekannte Botnets sind Storm, das vorwiegend zum Spam-Versand eingesetzt wurde und TDSS (also called Alureon), das einen Rootkit enthielt, das sich als äußerst hartnäckig beim Bereinigen erwies.

Hat ESET in diesem Jahr ein größeres Botnet entdeckt?

Ja, in der Tat. Unsere Untersuchungen zur Operation Windigo mündete in eines der größten Botnet-Forschungsprojekte, das ESET in diesem Ausmaß zuvor noch nicht hatte. Unser Spezialisten-Team entdeckte ein Netzwerk an infizierten Servern, die Nutzer auf manipulierte Webseiten leiteten, ihre Zugangsdaten stahlen und Spam verschickten. Wir haben im Zuge unserer Analysen herausgefunden, dass in den letzten Jahren mehr als 25.000 Server befallen wurden. In der Zeit, in der wir unseren Bericht verfassten, waren bereits über 10.000 Server betroffen. (Den von VirusBulletin ausgezeichneten Forschungsbericht über Windigo steht hier zum Download bereit.)

Auf welchem Betriebssystem laufen die Botnets in der Regel? Gab es auch schon Botnets für Mac, Linux oder Android?

Wir sehen schadhafte Software, die für alle gängigen Betriebssysteme gezielt entwickelt wurden. Geräte in Netzwerken zu infizieren oder Botnets zu erschaffen, ist unter allen Plattformen möglich. Ein Beispiel dafür ist Flashback, eine Malware, die Abertausende an Macs infiziert hat.

Was ist der effektivste Ansatz im Kampf gegen Botnets?

Aus technischer Perspektive gibt es verschiedene Wege, Botnets zu bekämpfen, angefangen bei einer Anti-Malware-Lösung. Wir sind in der Lage, Infektionen im Netzwerkverkehr auszumachen, im Speicher eines infizierten Computers oder auf der Festplatte. Doch ich denke, dass der effektivste Weg im Kampf gegen Botnets Aufklärung ist, indem Bewusstsein dafür geschaffen wird. Wir sollten jedem helfen zu verstehen, dass sein Rechner infiziert ist und dadurch andere womöglich auch betroffen sind. Jedes Mal, wenn ein verseuchter Computer gefunden wird, muss er umgehend vom Netz und so schnell wie möglich gesäubert werden. Ein Zusammenwirken von Nutzern, Forschungsgruppen, Internet-Service-Providern und Rechtsbehörden hilft allen im Kampf gegen Botnets und für Gerechtigkeit.

Autor Stephen Cobb, ESET