Zunehmende Gefahr: Botnetze infizieren, kapern, missbrauchen

Patrycja Tulinska rät zu Awareness und technischen Maßnahmen gegen wachsende Bedrohung durch Botnetze

[datensicherheit.de, 28.09.2020] Im Kampf gegen Cyber-Kriminalität sei es sowohl für Unternehmen als auch für private Anwender sinnvoll, sich mit deren „Maschen“ auszukennen, empfiehlt die PSW GROUP. Dazu gehöre auch, zu wissen, was sogenannte Botnetze sind – denn „FritzFrog“, „Vollgar“, „B3astMode“, „Bins“ und „Dota“ seien weder Rapper noch Gaming-Helden. „Es handelt sich um aktuelle Botnetze, die Datenverbindungen belauschen, Fernzugriffstools und Kryptominer auf infizierten Rechnern installieren oder DDoS-Attacken gegen Unternehmen fahren und damit gewaltigen Schaden anrichten können“, warnt Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Tulinska empfiehlt die Botnetz-Enzyklopädie von Guardicore

Botnetze bestehen aus Netzen gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen

„Ein Botnetz besteht aus einem Netz gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen. Zunächst wird der Zielrechner, der in das Botnetz eingebunden werden soll, mit Malware infiziert. Mit dieser Schadsoftware kann der Angreifer die Kontrolle über das System übernehmen“, erläutert Tulinska.
Gekaperte Rechner ließen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern und würden für unterschiedliche Aktivitäten verwendet: Spamming, für die Speicherung illegaler Dateien, das Verteilen von Schadsoftware oder auch für DDoS-Attacken.

Auch IoT-Geräte können Teile von Botnetzen werden

Tulinska verweist auch auf IoT-Geräte: „Es sind aber nicht nur Rechner gefährdet, Teil von Botnetzen zu werden, sondern jedes vernetzte Gerät mit einem Zugang zum Internet. Häufig sind IoT-Geräte, insbesondere im privaten Umfeld, sehr weit vom Schutzniveau gängiger Computer entfernt sind. Aber auch Mobilgeräte wie Smartphones oder Tablets können gekapert und Botnets hinzugefügt werden.“
Zwar sei es mit einigem Aufwand verbunden, Botnetze zu erstellen, deren Vielseitigkeit sei es jedoch, was ihre Attraktivität ausmache. Denn moderne Bots seien multifunktional: Sie könnten nach der Infektion eine Zeitlang schlummern und erst später aktiv werden, sie könnten sofort Daten ausspähen oder aber als Erpressungstrojaner Einsatz finden.

Botnetze versenden auch Spam- oder Phishing-Mails

Über Botnetze würden auch Spam- oder Phishing-Mails versendet. So könne es dem Botnetz auch gelingen, sich selbstständig zu vergrößern: Die hauseigene Schadsoftware werde auf immer mehr Rechnern implementiert und so vergrößere sich das Netzwerk. Auch der Einsatz von Ransomware über Botnetze sei äußerst beliebt – „ein negativer Trend, der leider anhält“.
Eine insbesondere von Unternehmen gefürchtete Angriffsart seien DDoS-Angriffe: „Das Botnetz bombardiert das Opfer-System mit der gebündelten Rechnerleistung sowie Netzwerk-Bandbreite all der angeschlossenen Geräte solange, bis das Zielsystem unter dieser Last in die Knie geht und nicht mehr erreichbar ist“, so Tulinska und ergänzt: „Indem Botnetze Sniffer oder Passwort-Grabber nachladen, können sie ebenfalls gewaltigen Schaden anrichten. Es lassen sich nämlich private Daten einschließlich Web-Formulare, womöglich auch Bank-Zugangsdaten, auslesen, so dass diese Daten an die Hintermänner weitergeleitet und zu Barem gemacht werden können.“

Übernahme in Botnetze ist auch Resultat schlecht gesicherter Computer

Aufgrund der immensen und immer weiter steigenden Verbreitung vernetzter Geräte müsse man davon ausgehen, dass auch die Verbreitung von Botnetzen steigen werde, mahnt Tulinska und betont: „Mit einer Kombination aus Awareness sowie technischen Maßnahmen können Anwender das Risiko aber senken, ungewollt zum Teil eines Botnetzes zu werden. Denn die Übernahme eines Rechners zu einem Botnetz ist auch Resultat eines schlecht gesicherten Computers, denn der Angreifer kann dann die Rolle des Administrators übernehmen.“
Daten ließen sich dann einsehen, missbrauchen und manipulieren, außerdem könne der Rechner mit allen seiner Funktionen und Leistungen zu kriminellen Zwecken missbraucht werden. „Somit werden die Anwender gekaperter Rechner ungewollt zu einem Teil dieser kriminellen Aktivitäten.“

Anzeichen für Kaperung durch Botnetze regelmäßig überwachen!

Das zeitnahe oder automatisierte Einspielen von Updates auf allen Geräten zum Schutz gegen offene Sicherheitslücken in Software oder Betriebssystem, eine Firewall zum Schutz eines Netzwerks vor unerwünschten Zugriffen von außen und eine aktuelle Antiviren-Software – idealerweise mit zusätzlicher signatur- und verhaltensbasierter Schadsoftware-Erkennung – seien obligatorische technische Schutzmaßnahmen.
Zudem decke eine regelmäßige Überprüfung von Systemen und Netzwerkverkehr mögliche Infektionen schneller auf. „Ungewöhnlich hohe Internet- und Netzwerkbelastungen, extrem hohe Aufkommen ausgehender E-Mails, ein deutlich verzögerter E-Mail Versand verbunden mit verzögerter Rechenleistung sowie massives Scannen eines oder mehrerer Ports von außen können Anzeichen dafür sein, dass das Gerät zu einem Botnetz gehört.“

Abwehr von Botnetzen: Schadsoftware erkennen, bevor sie auf dem Gerät ankommt!

Es sei für Unternehmen sinnvoll, sich grundsätzlich gegen DDoS-Attacken und Spamming zu schützen und, das gelte auch für Privatpersonen, die eingesetzten IoT-Geräte unter die Lupe zu nehmen. „Anti-Malware-Lösungen, die lokal auf dem jeweiligen IoT-Gerät gespeichert werden, existieren kaum. Also muss dafür eine Lösung her, die in der Lage ist, Schadsoftware zu erkennen, bevor sie auf dem Gerät ankommen kann, und die darüber hinaus Schwachstellen von außen abschirmt. Hier bietet sich beispielsweise Virtual Patching an“, rät Tulinska.
Mittels „Web Application Firewall“ (WAF) lasse sich regeln, wer wie auf die entsprechende Applikation zugreifen darf – oder anders gesagt: „Die zu schützenden Applikationen werden gegen ungewollte oder bösartige Zugriffe abgeschirmt. Grundsätzlich ist jedoch Patching, also das Flicken von Schwachstellen, besser als Virtual Patching, bei dem unbefugte Dritte lediglich ausgesperrt werden.“

Aufklärung und Awareness wichtige Bausteine im Kampf gegen Cyber-Kriminelle im Allgemeinen und Botnetze im Besonderen

Aufklärung und Awareness seien wichtige Bausteine im Kampf gegen Cyber-Kriminelle im Allgemeinen und Botnetze im Besonderen. So habe zum Beispiel das israelische Unternehmen Guardicore nun eine Botnetz-Enzyklopädie gestartet. Die Informationen dieser Wissensdatenbank sollten fortlaufend aktualisiert werden, so dass aktuelle und vergangene Botnetz-Kampagnen bestens dokumentiert würden.
„Die Botnetz-Enzyklopädie kann von IT-Abteilungen, Sicherheitsteams, Forschern oder der Cybersecurity-Community zum besseren Verständnis und Schutz vor Bedrohungen genutzt werden. Interessierte können Botnetze per Freitextsuche finden oder die Einträge über Kompromittierungs-Indikatoren durchsuchen, beispielsweise nach IP-Adresse, Dateiname oder Service-Bezeichnung“, empfiehlt Tulinska abschließend.

Weitere Informationen zum Thema:

PSW GROUP, News, Bianca Wellbrock, 01.09.2020
Frei verfügbare Botnetz-Enzyklopädie

Guardicore
Botnet Encyclopedia

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen