Bots, Kurzform für „robots“, waren anfangs nützliche Tools ohne bösartigen Hintergrund. Sie wurden ursprünglich als virtuelle Arbeitskraft erfunden, die Dinge in einem IRC Channel erledigten, wenn der Operator anderweitig beschäftigt war. Der Ausdruck Botnetz setzt sich aus „robot networks“ zusammen. Bots können, abhängig von deren Verwendung, in „Gute“ und „Schlechte“ Bots klassifiziert werden. Die „guten Bots“ wurden dazu entwickelt, um legale Aufgaben mit legalen Funktionen zu erledigen. Im Laufe der Zeit wurden sie jedoch von den „bösen Bots“ überschattet. Trojanische Pferde, welche bösartige, nicht selbstreplizierende Computerprogramme sind, haben den Beginn von kriminellen Aktivitäten im Zusammenhang mit Schadcode markiert.
Viele Trojaner gaben dem Autor die komplette Kontrolle über einen Computer. Sie inkludierten ein File Management und eine Keylogging Funktion zum Stehlen von Kreditkartennummern, Online Account Informationen, Software Lizenzschlüssel und mehr. Trojaner liefern dem Angreifer eine Menge von Informationen, die für den finanziellen Nutzen brauchbar sind. Der nächste große Schritt wurde von den bösartigen Bots gesetzt. Sie sind eine Mischung aus einem RAT (Remote Access Trojans) und einem Wurm, stellen dem Angreifer also Remote Access und die Möglichkeit sich wie ein Wurm zu verbreiten bereit.
Die frühen Botentwicklungen fingen in kleinen, simplen Projekten an. Einige wurden nicht veröffentlicht, andere hingegen waren Open Source, wie zum Beispiel SDBot und RBot. Diese Sources wurden über die Zeit hinweg verbessert und erweitert.
Unterschiede zwischen Bots und Trojaner:
Bots sind automatisierter und haben eine bessere Skalierbarkeit
Bots haben eine größe Community
Die meisten Botherder sind technischer kompetenter
Botherder sind progressiver in der Entwicklung von neuen Exploitcodes (vgl. [Dun09])
Die Angriffsautomatisierung ist der Hauptunterschied zwischen Bots und Trojaner. Eine Schwierigkeit für den Botherder ist das Verwalten von der großen Menge von Informationen und Daten, die er von den Clients erhält. Aus diesem Grund wurden die Keylogging Funktionen und die Back-End Datenbanken verbessert.
Die Community veränderte sich vom Stehlen von Webcambilder zum Stehlen von sensiblen Daten, wie zum Beispiel Kreditkartendaten.
Um von einem Botnetz sprechen zu können müssen folgende zwei Kriterien erfüllt sein:
1. Der Hacker muss in der Lage sein dem Client Befehle ausführen zu lassen, ohne dass sich der Angreifer in das Betriebssystem (Windows, Unix, Mac etc.) einloggen muss.
2. Mehrere Clients müssen in der Lage sein, in einer koordinierten Art und Weise Befehle entgegenzunehmen und auszuführen, um ein gemeinsames Ziel zu erreichen. Dieser Vorgang darf nur wenig oder gar keine Intervention von dem Hacker verlangen. (vgl. [Sch07])
Erfüllt eine Sammlung/Menge von miteinander vernetzten Computern diese Kriterien, dann handelt es sich um ein Botnetz.
Ein Botnetz ist die Zusammenführung von mehreren Bedrohungen. Das typische Botnetz besteht aus einem Bot Server (meistens ein IRC - Server) und ein oder mehreren Botclients (siehe Abbildung 3.1). Botnetze mit einer Größe von mehreren Hunderten oder ein paar Tausenden Botclients (auch Zombies oder Drones genannt) sind kleine Botnetze. Bei solch einem Umfang kommuniziert der Botherder mit den Clients meistens über einen IRC Channel[3] auf einem Remote Command and Control (C&C) Server.
Abbildung 3.1: Ablauf eines DDoS - Angriffes (vgl. [Sch07])
1. Im Schritt 1 tritt der Client einen vordefinierten IRC Channel auf einem IRC Server bei und wartet auf Befehle.
2. Schritt 2 besteht darin, dass der Botherder eine Nachricht/Befehl an den IRC Server schickt, die jeder Client empfangen soll.
3. Im Schritt 3 empfängt der Client den Befehl über einen IRC Channel.
4. Im Schritt 4 führen die Zombies den Befehl aus, in diesem Fall ein DDoS (Distributed Denial of Service) Angriff gegen ein bestimmtes Ziel.
5. Im nächsten Schritt berichten die Clients dem Botherder die Ergebnisse der Attacke.
Diese Anordnung ist für Hacker „angenehm“, da weder deren Computer die Aktionen ausführen noch der IRC Channel sich auf ihrem PC befindet. Um ein Botnetz zu stoppen, ist es erforderlich den Hacker vom IRC Server und diesen vom Client zurückzuverfolgen. Um dies zu verhindern, haben Hacker einen weiteren Layer an Komplexität hinzugefügt. Die Befehle werden durch einen Proxy und mehreren Hops geschickt bevor sie zum IRC Channel gelangen. Befindet sich einer dieser Komponenten noch dazu in einem anderen Land, dann ist es schwierig den Botherder zurückzuverfolgen. Noch dazu gibt es Botcodes die Kommandos inkludieren, um Beweise zu vernichten und den Traffic zu verschlüsseln. Moderne Botnetze sind wie echte Armeen organisiert. Es gibt Divisionen von Zombies die von verschiedenen Botservern kontrolliert werden. Der Botherder kontrolliert mehrere Botserver, mit denen er wiederum mehrere Divisionen von Zombies kontrolliert. Wenn also ein Channel zerstört wird, verliert er nur eine Division von Zombies, die anderen können weiterhin benutzt werden.
Botherder sehen das Internet als Spielplatz für illegale Aktivitäten und als Markplatz mit unbegrenzten Möglichkeiten, um auf kriminelle Weise Geld zu verdienen. Jeder Zombie repräsentiert eine Vielzahl an finanziellen Gewinnmöglichkeiten.
Einige davon sind:
DDoS Angriffe
Informationsdiebstahl, wie zum Beispiel Kreditkartendaten etc.
Diebstahl von Onlineaccountinformationen, wie zum Beispiel E-Mail Accounts für Spam, Gaming Accounts zum Verkaufen oder manipulieren von virtuellen Güter.
Diebstahl von Lizenzschlüssel zum illegalen Verkaufen von Software auf dem Schwarzmarkt
Gezielte Attacken auf Netzwerke, Personen
Botnetze sind derzeit eines der schwerwiegendsten Gefahren im Internet.
Modular designte Bots sind vielfältige Tools, die für ein Maximum an Profit sorgen. Attacken bestehen nicht länger aus einem individuellen Virus oder Wurm, sondern aus mehreren Codemodulen, jeder für eine spezielle Funktion. Zum Beispiel die Installationen von Windows Rootkits um Malware im System zu verstecken, Keylogger um Account -, Kreditkarteninformationen etc. aufzuzeichnen, ein Browser Helper Object (BHO) um dem Angreifer Informationen über das Surfverhalten zu schicken. Bots werden über mehrere Infektionsvektoren installiert. Dazu gehören Userinteraktionen, Social Engineering, geheime Codeausführung durch eine Webbasierte Schwachstelle, Bruteforce Attacken gegen schwache Passwörter etc.
Die Gefahr eines Botnetzes ist nicht äquivalent mit der Anzahl der infizierten Clients, viel mehr kommt es darauf an, wie der Botherder seine Armee von Zombies verwaltet. Ein sehr großes Botnetz, welches schlecht verwaltet wird, stellt nicht annähernd so eine große Gefahr da, wie eines, das sehr gut verwaltet wird. Wichtig ist, wie der Angreifer seine Ressourcen handhabt.
In folgender Liste werden eine paar Techniken erläutert, mit denen ein besseres Management des Botnetzes möglich ist:
1. Mehrere Varianten des Bots erstellen. Jeder soll so designed sein, dass er über einen unterschiedlichen Server kontrolliert werden kann. Dies vermeidet zum Einen, dass eine große Distribution des Bots erkannt wird, zum Anderen werden viele kleine Varianten des Bots nicht durch ein einziges Signaturen - Update von den Anti - Viren Programme erkannt.
2. Den Server so konfigurieren, dass nach einer Attacke neuer Code auf den Zombies installiert wird. Wenn der Originalbot erkannt und gelöscht wird, bleibt der neue unbekannte Code auf dem Client vorhanden. Dadurch hat der Botherder noch die Kontrolle über diesen.
3. Web-based Command and Control Server erstellen und benutzen. Dies verbessert die Skalierbarkeit von Botnetze.
Die Botherder haben ihre Ressourcen in mehrere kleine Botnetze aufgeteilt. Das bedeutet auch, dass mehrere kleinere Botnetze ein Ziel angreifen. Diese Strategie erhöht die Überlebensfähigkeit eines Angriffes, da dieser von mehreren Botnetzen, die
sich auf mehreren Servern befinden, ausgeführt wird. Zusätzlich hilft dies, dass Botnetzoperationen verborgen bleiben. Bots werden so konzipiert, dass sie schnell neue Exploits integrieren können (Plug - and - Play Aspekt von Botnetzen).
Von Anfang an haben Bots Malware Autoren mit mehr Automation, Kontrolle und Angriffsstärke versorgt, als ein normaler Trojaner und andere Attacken. Die Veröffentlichung von diversen Bot Source Codes hat die...