Was ist ein Botnetz?

Zu welchen Zwecken werden Botnetze eingesetzt?

Botnetze werden für verschiedene Arten von Angriffen eingesetzt, die in irgendeiner Weise von der Verwendung einer großen Anzahl ferngesteuerter Endgeräte profitieren. Einige Beispiele für gängige Arten von Botnetz-Angriffen sind:

• Distributed Denial of Service: Bei einem DDoS-Angriffsenden Angreifer Traffic von vielen Geräten gleichzeitig, um die Verarbeitungs- oder Bandbreitenkapazität der Zielserver oder -infrastruktur zu überlasten und die ordnungsgemäße Bereitstellung des Services zu verhindern.
• Phishing und anderer E-Mail-Betrug: Botnetze können im Rahmen von Phishing-Angriffen zur Erlangung von Zugangsdaten, Finanzbetrug, Malware-Kampagnen etc. große Mengen an Spam oder Phishing-Nachrichten von verschiedenen Konten und IP-Adressen aus versenden.
• Krypto-Mining: Durch die Nutzung der kollektiven Verarbeitungsleistung eines Botnetzes in Verbindung mit Kryptomining-Malware kann ein Angreifer ohne Wissen oder Zustimmung des Gerätebesitzers nach digitalen Währungen schürfen (auch bekannt alsKryptojacking).
• Brute-Force-Angriffe: Botnetze können schnell aufeinanderfolgende Anmeldeversuche durchführen, um auf die Online-Konten der Opfer zuzugreifen, oder offengelegte Zugangsdaten verwenden, um schnell Credential-Stuffing-Angriffe auf mehreren Websites gleichzeitig durchzuführen.
• Proxy-basierte Verschleierung: Angreifer können Botnetz-Geräte in Forward-Proxys umwandeln, um schädlichen Traffic umzuleiten und dabei ihre Identität und ihren Standort zu verbergen. Sie können sogar Proxy-Zugriffe über das Darknet an andere Angreifer verkaufen.
• Trojaner, Keylogging und Packet Sniffing:Botnet-Malware kann verwendet werden, um die vom Bot gesendeten und empfangenen Daten zu überwachen und zu protokollieren sowie Daten zu erfassen, die User in ihre Geräte eingeben, wie etwa Zugangsdaten.

Wie funktionieren Botnetze?

Botnetze beginnen mit Botnet-Malware, die wie andere Arten von Malware über Methoden wie Phishing-E-Mails oder das Ausnutzen von Sicherheitslücken verbreitet wird und infizierte Geräte in „Bots“ verwandelt. Diese Bots kommunizieren dann mit einem von Hackern kontrollierten zentralen Server, der als Command-and-Control-Server (C2 oder C & C) bezeichnet wird, über den der Hacker den Bots Anweisungen erteilt.

Der C2-Server kann die Bots nicht nur anweisen, verschiedene Angriffe auszuführen, sondern auch Updates für die Schadsoftware herausgeben, um die Funktionen und Fähigkeiten des Botnetzes zu verbessern oder zu verändern, sodass es für die betroffenen Opfer schwieriger wird, es zu erkennen und entsprechende Abwehrmaßnahmen zu ergreifen. Darüber hinaus kann ein einzelnes Botnetz aus Hunderten oder sogar Tausenden weit voneinander entfernten Geräten bestehen, deren Besitzer möglicherweise nie erfahren, dass ihre Geräte Teil eines Botnetzes sind.

Wie entgehen Botnetze der Erkennung?

Botnet-Malware ist so konzipiert, dass sie unbemerkt im Hintergrund läuft und dabei komplexe Techniken wie polymorphen Code, Domain-Generation-Algorithmen (DGAs) und Verschlüsselung nutzt. Diese Methoden ermöglichen der Malware, ihr Erscheinungsbild zu verändern und ihre Kommunikationswege zu verändern oder zu verbergen. Dies erschwert es herkömmlichen Cybersicherheitsmaßnahmen wie signaturbasierten Antivirenprogrammen oder herkömmlicher Netzwerksicherheitshardware, schädlichen Traffic im Zusammenhang mit Botnetz-Angriffen zu erkennen, abzufangen oder zu analysieren.

Wie werden Botnetze kontrolliert?

Botnetz-Betreiber (manchmal auch Bot-Herder genannt) können Bot-Geräte auf zwei Arten steuern:

• Zentralisierte Steuerung, wobei der C2-Server Anweisungen an einzelne Bots sendet, die nicht direkt miteinander kommunizieren
• Dezentrale oder Peer-to-Peer-Steuerung, wobei der C2-Server Anweisungen an nur einen Bot sendet, der wiederum mit den anderen Bots kommuniziert

Zentralisierte Botnetze sind einfacher einzurichten als P2P-Botnetze, aber auch leichter abzuschalten, da Bedrohungsexperten den zentralen Server einfach lokalisieren und deaktivieren können. Umgekehrt sind P2P-Botnetze erheblich aufwendiger, jedoch schwieriger abzuschalten, da es weitaus schwieriger ist, den C2-Server zwischen all den miteinander kommunizierenden Geräten zu lokalisieren.

Welche Gerätetypen können betroffen sein?

Praktisch jedes mit dem Internet verbundene Gerät kann Teil eines Botnetzes werden, sofern ein Angreifer darauf Schadsoftware ausführen kann. Insbesondere betrifft dies folgende Geräte:

• Computer, Smartphones und andere Mobilgeräte mit allen gängigen Betriebssystemen
• Server, Router und andere Netzwerkhardware, die die Verbreitung von Angriffen weiter erleichtern können
• IoT- und OT-Geräte, denen es häufig an robuster Sicherheit mangelt und die im Fall herkömmlicher OT-Systeme mit Airgap nicht im Hinblick auf Hyperkonnektivität konzipiert wurden. Durch Ausnutzen von Schwachstellen in IoT-Geräten können Angreifer riesige Botnetze aufbauen, die umfassende DDoS-Angriffe starten können.

Beispiele für Botnetz-Angriffe

Der Einsatz von Botnetzen ist bei großflächigen Cyberangriffen nach wie vor beliebt, da es sehr schwierig sein kann, sie endgültig abzuschalten. Hier sehen Sie einige der bekanntesten Botnetze, die in den letzten Jahren aktiv waren:

1. Mirai verwendet Brute-Force-Techniken und Remote Code Execution, um IoT-Geräte mit Botnet-Malware zu infizieren. Mirai, eine der seit Jahren am weitesten verbreiteten IoT-Malware-Gruppen, führte 2016 den bisher größten DDoS-Angriff der Geschichte durch.
2. Gafgyt und seine Varianten infizieren Linux-Systeme, um DDoS-Angriffe zu starten, und haben seit 2014 Millionen von IoT-Geräten infiziert. Mit Gafgyt verbundene Botnetze waren für DDoS-Angriffe mit einer Intensität von bis zu 400 Gbit/s verantwortlich.
3. BotenaGo verwendet zum Infizieren von Routern und IoT-Geräten teilweise die gleichen Techniken wie Mirai, darunter Brute-Force-Authentifizierung. Es ist in der Open-Source-Sprache Go geschrieben und auf GitHub verfügbar. Jeder potenzielle Angreifer kann es ändern oder veröffentlichen.
4. Mozi wurde 2019 entdeckt und nutzt hauptsächlich IoT-Geräte mit schwachen oder standardmäßigen Anmeldedaten aus und infiziert sie mit Botnet-Malware. Mozi war verantwortlich für mehr als 5 % der im ersten Halbjahr 2023 entdeckten IoT-Malware.
5. VPNFilter zielt auf Router und Speichergeräte ab, und zwar insbesondere auf ICS/SCADA-Geräte. Die Malware wurde angeblich von der russischen Cyberspionagegruppe Fancy Bear entwickelt und kann Daten exfiltrieren, Geräte unbrauchbar machen und Router-Neustarts überstehen.

So schützen Sie Ihr Unternehmen vor Botnetzen

Mit ihrer enormen globalen Reichweite, ihren fortschrittlichen Umgehungstaktiken und ihrer verschlüsselten Kommunikation bleiben Botnetz-Angriffe eine allgegenwärtige Bedrohung – insbesondere angesichts der zunehmenden Verbreitung von Open-Source-Varianten und der stetig wachsenden Zahl anfälliger Ziele. Um die Geräte Ihres Unternehmens zu schützen, muss Ihre Sicherheit in der Lage sein, Botnetz-Aktivitäten kontinuierlich zu erkennen und einzudämmen.

Zscaler Internet Access™ (ZIA™) ist eine Cloud-native Security Service Edge (SSE)-Lösung. Die Lösung wird als skalierbare SaaS-Plattform über die weltweit größte Security Cloud bereitgestellt und ersetzt Legacy-Netzwerksicherheitslösungen mit dem Ziel, komplexe Bedrohungen abzuwehren und Datenverluste zu verhindern. Möglich macht dies ein umfassender Zero-Trust-Ansatz. Mit ZIA können Sie Botnet- und C2-Aktivitäten erkennen und Botnetze effektiv stoppen durch:

• Intrusion Prevention System (IPS): Erhalten Sie umfassenden Schutz vor Botnetzen, erweiterten Bedrohungen und Zero-Day-Bedrohungen sowie kontextbezogene Informationen zu Usern, Anwendungen und Bedrohungen.
• Advanced Threat Protection (ATP): Nutzen Sie den integrierten Schutz vor Botnetzen, Command-and-Control-Traffic, riskantem P2P-Sharing, schädlichen aktiven Inhalten, Cross-Site-Scripting, Betrugsseiten und mehr.

Zscaler Zero Trust SD-WAN vermittelt sichere Verbindungen für Ihren IoT-Traffic von Zweigstellen zu privaten Unternehmensanwendungen und ins Internet über die Zscaler Zero Trust Exchange™, wodurch die laterale Ausbreitung von IoT-basierter Malware und die Kommunikation mit C2-Servern eingeschränkt wird.

Zscaler IoT Device Visibility verschafft Ihnen einen ganzheitlichen Überblick über alle IoT-Geräte, Server sowie nicht verwaltete User-Geräte in Ihrem Unternehmen ohne Installation von Agents auf Endgeräten.