Was ist ein Botnet und ist Ihr Computer Teil eines
Einer meiner Lieblingsbegriffe für Cybersicherheit ist “Botnet.” Es beschwört alle Arten von Bildern: miteinander verbundene Roboter, Legionen vernetzter Arbeiter, die gleichzeitig auf ein einziges Ziel hinarbeiten. Merkwürdigerweise ist das Bild, das das Wort hervorruft, dem eines Botnetzes ähnlich - zumindest im Umlauf.
Botnetze sorgen weltweit für eine beträchtliche Rechenleistung. Und diese Macht ist regelmäßig (vielleicht sogar konsequent) die Quelle von Malware, Ransomware, Spam und mehr. Aber wie entstehen Botnetze? Wer kontrolliert sie? Und wie können wir sie aufhalten??
Was ist ein Botnet??
Die SearchSecurity-Botnetzdefinition gibt dies an “Ein Botnet ist eine Sammlung von Geräten, die mit dem Internet verbunden sind. Dazu gehören PCs, Server, mobile Geräte und Geräte für das Internet der Dinge, die infiziert sind und von einer üblichen Art von Malware kontrolliert werden. Benutzern ist häufig nicht bewusst, dass ein Botnetz ihr System infiziert.”
Der letzte Satz der Definition ist der Schlüssel. Geräte innerhalb eines Botnetzes sind normalerweise nicht freiwillig vorhanden. Geräte, die mit bestimmten Malware-Varianten infiziert sind, werden von Remote-Bedrohungsakteuren, auch Cyberkriminellen, kontrolliert. Die Malware verbirgt die schädlichen Botnet-Aktivitäten auf dem Gerät, wodurch der Besitzer seine Rolle im Netzwerk nicht kennt. Sie könnten zu Tausenden Spam-Mails mit Anhängsel mit Vergrößerungstabletten verschicken - ohne eine Ahnung zu haben.
Daher beziehen wir uns oft auf infizierte Botnet-Geräte. Ist Ihr PC ein Zombie? Und was ist ein Zombie-Computer überhaupt? [MakeUseOf erklärt] Ist dein PC ein Zombie? Und was ist ein Zombie-Computer überhaupt? [MakeUseOf Explains] Haben Sie sich jemals gefragt, woher der Internet-Spam kommt? Sie erhalten wahrscheinlich täglich hunderte Spam-gefilterte Junk-E-Mails. Bedeutet das, dass es Hunderte und Tausende von Menschen gibt, die da sitzen und lesen “Zombies.”
Was macht ein Botnet??
Ein Botnetz hat mehrere allgemeine Funktionen, je nach Wunsch des Botnetzbetreibers:
- Spam: Versenden großer Mengen Spam auf der ganzen Welt. So lag der durchschnittliche Spam-Anteil zwischen Januar und September im weltweiten E-Mail-Verkehr bei 56,69 Prozent. Als das Sicherheitsforschungsunternehmen FireEye den Übergang des berüchtigten Srizbi-Botnetzes vorübergehend stoppte, nachdem das berüchtigte McColo-Hosting offline gegangen war, ging der globale Spam um eine große Anzahl zurück (und als er schließlich offline ging, fiel der globale Spam vorübergehend um etwa 50 Prozent)..
- Malware: Bereitstellung von Malware und Spyware auf anfälligen Computern. Botnet-Ressourcen werden von Übeltätern gekauft und verkauft, um ihre kriminellen Unternehmen zu fördern.
- Daten: Erfassung von Passwörtern und anderen privaten Informationen. Dies hängt mit dem oben genannten zusammen.
- Klicken Sie auf Betrug: Ein infiziertes Gerät besucht Websites, um falschen Internetverkehr und Werbeeinblendungen zu erzeugen.
- Bitcoin: Botnet-Controller leiten infizierte Geräte an die Minen von Bitcoin und anderen Kryptowährungen weiter und generieren so leise Gewinne.
- DDoS: Botnet-Betreiber steuern die Leistung infizierter Geräte auf bestimmte Ziele und schalten sie bei Angriffen mit verteilten Denial-of-Service offline.
Botnet-Betreiber wenden ihre Netzwerke normalerweise an eine Reihe dieser Funktionen an, um Gewinne zu generieren. Zum Beispiel besitzen Botnet-Betreiber, die medizinischen Spam an US-Bürger senden, auch die Apotheken, die die Waren liefern. (Oh ja, es gibt tatsächliche Produkte am Ende der E-Mail. Brian Krebs 'Spam Nation ist ein hervorragender Blick auf das.)
Spam Nation: Die Insider-Geschichte der organisierten Internetkriminalität - von der globalen Epidemie bis zur Haustür Spam-Nation: Die Insider-Geschichte der organisierten Cyberkriminalität - von der globalen Epidemie bis zur Haustür Kaufen Sie jetzt bei Amazon $ 6,00
Die großen Botnetze haben sich in den letzten Jahren leicht verändert. Während ärztliche und andere ähnliche Arten von Spam lange Zeit äußerst profitabel waren, brachen staatliche Maßnahmen in mehreren Ländern die Gewinne ein. Laut Symantecs Intelligence-Bericht vom Juli 2017 ist die Anzahl der E-Mails, die einen schädlichen Anhang enthalten, auf eine von 359 E-Mails gestiegen.
Wie sieht ein Botnet aus??
Wir wissen, dass ein Botnetz ein Netzwerk infizierter Computer ist. Die Kernkomponenten und die tatsächliche Botnet-Architektur sind jedoch interessant.
Die Architektur
Es gibt zwei Hauptnetzwerke für Botnets:
- Client-Server-Modell: Ein Client-Server-Botnetz verwendet normalerweise einen Chat-Client (früher IRC, moderne Botnets haben jedoch Telegramm und andere verschlüsselte Messaging-Dienste verwendet), eine Domäne oder eine Website, um mit dem Netzwerk zu kommunizieren. Der Bediener sendet eine Nachricht an den Server und leitet sie an die Clients weiter, die den Befehl ausführen. Obwohl sich die Botnet-Infrastruktur von grundlegend zu sehr komplex unterscheidet, kann durch konzentrierte Anstrengung ein Client-Server-Botnetz deaktiviert werden.
- Peer-To-Peer: Ein Peer-to-Peer-Botnetz (P2P) versucht, Sicherheitsprogramme und Forscher zu stoppen, die bestimmte C2-Server identifizieren, indem sie ein dezentrales Netzwerk erstellen. Ein P2P-Netzwerk ist weiterentwickelt. 10 Netzwerkbegriffe, die Sie wahrscheinlich nie gekannt haben, und was sie bedeuten 10 Netzwerkbegriffe, die Sie wahrscheinlich nie wussten, und was sie bedeuten Hier werden 10 gängige Netzwerkbegriffe beschrieben, was sie bedeuten und wo Sie wahrscheinlich auftauchen Sie. Lesen Sie in gewisser Hinsicht mehr als ein Client-Server-Modell. Darüber hinaus unterscheidet sich ihre Architektur von den Vorstellungen. Anstelle eines einzigen Netzwerks miteinander verbundener infizierter Geräte, die über IP-Adressen kommunizieren, verwenden Betreiber bevorzugt Zombie-Geräte, die mit Knoten verbunden sind, die wiederum miteinander und mit dem Hauptkommunikationsserver verbunden sind. Die Idee ist, dass es einfach zu viele miteinander verbundene, aber separate Knoten gibt, um sie gleichzeitig abzubauen.
Steuerung und Kontrolle
Command and Control-Protokolle (manchmal auch C & C oder C2 geschrieben) gibt es in verschiedenen Formen:
- Telnet: Telnet-Botnets sind relativ einfach. Sie verwenden ein Skript, um IP-Bereiche nach Standard-Telnet- und SSH-Server-Logins zu durchsuchen, um anfällige Geräte zum Hinzufügen von Bots hinzuzufügen.
- IRC: IRC-Netzwerke bieten eine Kommunikationsmethode mit extrem geringer Bandbreite für das C2-Protokoll. Die Möglichkeit, Kanäle schnell umzuschalten, bietet Botnet-Betreibern zusätzliche Sicherheit, bedeutet aber auch, dass infizierte Clients leicht vom Botnetz getrennt werden, wenn sie keine aktualisierten Kanalinformationen erhalten. Der IRC-Verkehr ist relativ einfach zu untersuchen und zu isolieren, was bedeutet, dass sich viele Betreiber von dieser Methode entfernt haben.
- Domains: Einige große Botnets verwenden Domänen anstelle eines Messaging-Clients zur Steuerung. Infizierte Geräte greifen auf eine bestimmte Domäne zu, die eine Liste von Steuerbefehlen bereitstellt, sodass Änderungen und Aktualisierungen schnell vorgenommen werden können. Der Nachteil ist der enorme Bandbreitenbedarf für große Botnets sowie die relative Leichtigkeit, mit der verdächtige Kontrolldomänen heruntergefahren werden. Einige Betreiber verwenden so genanntes Bulletproof-Hosting, um außerhalb der Gerichtsbarkeit von Ländern mit strengen strafrechtlichen Internetgesetzen tätig zu sein.
- P2P: Ein P2P-Protokoll implementiert normalerweise die digitale Signatur mit asymmetrischer Verschlüsselung (ein öffentlicher und ein privater Schlüssel). Das heißt, während der Operator den privaten Schlüssel hält, ist es extrem schwierig (im Wesentlichen unmöglich), dass andere Personen unterschiedliche Befehle an das Botnetz ausgeben. In ähnlicher Weise macht das Fehlen eines einzigen definierten C2-Servers das Angriff und die Zerstörung eines P2P-Botnetzes schwieriger als das der anderen.
- Andere: Im Laufe der Jahre haben Botnet-Betreiber einige interessante Befehls- und Steuerungskanäle verwendet. Diejenigen, die sofort in den Sinn kommen, sind Social-Media-Kanäle, wie das über Twitter gesteuerte Android-Twitoor-Botnet oder der Mac.Backdoor.iWorm, der die Minecraft-Serverliste subreddit zum Abrufen von IP-Adressen für sein Netzwerk ausnutzte. Instagram ist auch nicht sicher. Im Jahr 2017 verwendete Turla, eine Cyber-Spionagegruppe mit engen Verbindungen zu russischen Geheimdiensten, Kommentare zu Britney Spears Instagram-Fotos, um den Speicherort eines C2-Servers für die Malware-Verteilung zu speichern.
Zombies
Das letzte Teil des Botnet-Puzzles sind die infizierten Geräte (d. H. Die Zombies)..
Botnet-Betreiber suchen gezielt nach anfälligen Geräten und infizieren diese, um ihre Betriebsleistung zu erhöhen. Wir haben die wichtigsten Botnet-Anwendungen oben aufgelistet. Alle diese Funktionen erfordern Rechenleistung. Darüber hinaus sind Botnet-Betreiber nicht immer freundlich miteinander und machen sich die Macht ihrer infizierten Maschinen gegenseitig aus.
Die überwiegende Mehrheit der Besitzer von Zombie-Geräten kennt ihre Rolle im Botnet nicht. In manchen Fällen fungiert Botnet-Malware jedoch als Verbindungskanal für andere Malware-Varianten.
In diesem ESET-Video wird erklärt, wie sich Botnets erweitern:
Arten von Geräten
Vernetzte Geräte werden mit einer erstaunlichen Geschwindigkeit online geschaltet. Und Botnets sind nicht nur auf der Suche nach einem PC oder Mac. Wie Sie im folgenden Abschnitt mehr darüber lesen, sind Internet-of-Things-Geräte genauso anfällig (wenn nicht sogar mehr) für Botnet-Malware-Varianten. Vor allem, wenn sie wegen ihrer entsetzlichen Sicherheit gesucht werden.
Wenn ich meinen Eltern sagte, sie sollen ihr brandneues Smart TV zurückgeben, das sie zum Verkauf angeboten haben, weil IOT völlig unsicher ist, macht mich das zu einer guten oder schlechten Tochter?
Ich fragte, ob es auf Sprachbefehle hören könne, sie sagten ja; Ich gab ein knisterndes Geräusch von sich. Sie sagten, wir reden morgen.- Tanya Janca (@shehackspurple) 28. Dezember 2017
Smartphones und Tablets sind auch nicht sicher. Android hat in den letzten Jahren mehrere Botnets gesehen. Android ist ein einfaches Ziel Wie kommt Malware in Ihr Smartphone? Wie gelangt Malware in Ihr Smartphone? Warum möchten Malware-Anbieter Ihr Smartphone mit einer infizierten App infizieren, und wie gelangt Malware überhaupt in eine mobile App? Lesen Sie mehr: Es ist Open Source, hat mehrere Betriebssystemversionen und zahlreiche Sicherheitslücken. Freue dich nicht so schnell, iOS-Nutzer. Es gibt eine Reihe von Malware-Varianten, die auf mobile Geräte von Apple abzielen, obwohl diese normalerweise auf jailbroken iPhones mit Sicherheitslücken beschränkt sind.
Ein weiteres zentrales Ziel für ein Botnet-Gerät ist ein anfälliger Router. 10 Wege, wie Ihr Router nicht so sicher ist, wie Sie denken 10 Möglichkeiten, wie Ihr Router nicht so sicher ist, wie Sie denken Hier sind 10 Möglichkeiten, wie Ihr Router von Hackern und Drive-by-Hijackern genutzt werden kann . Weiterlesen . Router, auf denen alte und unsichere Firmware läuft, sind einfache Ziele für Botnetze, und viele Besitzer werden nicht erkennen, dass ihr Internetportal eine Infektion aufweist. In ähnlicher Weise können Internetnutzer die Standardeinstellungen ihrer Router einfach nicht ändern. 3 Standardkennwörter, die Sie ändern müssen, und warum 3 Standardkennwörter, die Sie ändern müssen & warum Passwörter unbequem sind, aber notwendig. Viele Benutzer neigen dazu, Passwörter zu vermeiden, wo immer dies möglich ist, und verwenden gerne Standardeinstellungen oder das gleiche Passwort für alle ihre Konten. Dieses Verhalten kann dazu führen, dass Ihre Daten und… Read More nach der Installation. Ähnlich wie bei IoT-Geräten kann sich Malware mit einer erstaunlichen Geschwindigkeit ausbreiten, wobei der Infektion Tausender Geräte nur wenig Widerstand entgegensteht.
Botnet abbauen
Ein Botnet abzubauen ist aus verschiedenen Gründen keine leichte Aufgabe. Manchmal erlaubt die Botnet-Architektur einem Betreiber einen schnellen Aufbau. Zu anderen Zeiten ist das Botnetz einfach zu groß, um es auf einen Schlag abzubauen. Die meisten Botnet-Takedowns erfordern eine Koordination zwischen Sicherheitsforschern, Regierungsbehörden und anderen Hackern, die sich manchmal auf Tipps oder unerwartete Hintertür verlassen.
Ein großes Problem für Sicherheitsforscher ist die relative Leichtigkeit, mit der Nachahmer-Operatoren Operationen mit derselben Malware starten.
GameOver Zeus
Ich werde das Botnetz GameOver Zeus (GOZ) als Takedown-Beispiel verwenden. GOZ war eines der größten Botnets der letzten Zeit, von dem angenommen wurde, dass es mehr als eine Million infizierter Geräte auf ihrem Höhepunkt gibt. Die Hauptanwendung des Botnetzes war der Gelddiebstahl (Verbreitung der CryptoLocker Ransomware. Eine Geschichte von Ransomware: Wo begann und wo es losging. Eine Geschichte von Ransomware: Wo es begann und wohin es geht. Ransomware stammt aus der Mitte der 2000er Jahre und wie viele Computersicherheitsbedrohungen. Sie stammte aus Russland und Osteuropa, bevor sie sich zu einer immer stärker werdenden Bedrohung entwickelte. Aber was hält die Zukunft für Ransomware? (Read More) und Spam-Mails und scheint mit einem ausgeklügelten Peer-to-Peer-Domänengenerierungsalgorithmus nicht aufzuhalten.
Ein Domain-Generierungs-Algorithmus ermöglicht es dem Botnetz, lange Listen von Domains für die Verwendung als Domain zu generieren “Treffpunkte” für die Botnet-Malware. Mehrere Rendezvous-Punkte machen das Stoppen der Ausbreitung nahezu unmöglich, da nur die Betreiber die Liste der Domänen kennen.
2014 zwang ein Team von Sicherheitsforschern in Zusammenarbeit mit dem FBI und anderen internationalen Agenturen GameOver Zeus schließlich in die Operation Tovar. Es war nicht leicht. Nachdem die Domain-Registrierungssequenzen bemerkt wurden, registrierte das Team in den sechs Monaten vor Beginn der Operation rund 150.000 Domains. Dies dient dazu, zukünftige Domainregistrierungen der Botnet-Betreiber zu blockieren.
Als nächstes gaben mehrere ISPs die Betriebssteuerung der Proxy-Knoten von GOZ, die von den Botnetzbetreibern für die Kommunikation zwischen den Befehls- und Steuerungsservern und dem eigentlichen Botnetz verwendet werden. Elliot Peterson, der leitende FBI-Ermittler bei Operation Tovar, sagte: “Wir konnten die Bots davon überzeugen, dass wir gut miteinander reden konnten, aber alle Peers, Proxies und Supernodes, die von den bösen Jungs kontrolliert werden, waren schlecht im Gespräch und sollten ignoriert werden.”
Der Botnet-Besitzer Evgeniy Bogachev (Online-Alias Slavik) erkannte, dass der Takedown nach einer Stunde an Ort und Stelle war, und versuchte, weitere vier oder fünf Stunden zuvor zurückzuschlagen “zugeben” Niederlage.
In der Folge gelang es den Forschern, die berüchtigte CryptoLocker-Ransomware-Verschlüsselung zu knacken und kostenlose Entschlüsselungswerkzeuge für Opfer zu erstellen. CryptoLocker ist tot: So können Sie Ihre Dateien zurückbekommen! CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! Weiterlesen .
IoT-Botnets unterscheiden sich
Die Maßnahmen zur Bekämpfung von GameOver Zeus waren umfangreich, aber notwendig. Es zeigt, dass die schiere Kraft eines ausgeklügelten Botnetzes eine globale Herangehensweise an die Abmilderung erfordert “innovative rechtliche und technische Taktiken mit traditionellen Strafverfolgungsinstrumenten” ebenso gut wie “Starke Arbeitsbeziehungen zu Experten der Privatwirtschaft und Kollegen der Strafverfolgungsbehörden in mehr als 10 Ländern der Welt.”
Aber nicht alle Botnets sind gleich. Wenn ein Botnet sein Ende findet, lernt ein anderer Betreiber von der Zerstörung.
2016 war Mirai das größte und schlechteste Botnetz. Vor seinem teilweisen Abbau traf das Mirai-Botnet auf dem Internet der Dinge mehrere wichtige Ziele. Warum ist Ihre Crypto-Münze nicht so sicher, wie Sie denken? Warum ist Ihre Crypto-Münze nicht so sicher wie Sie denken? Bitcoin erreicht weiterhin neue Höchststände. Kryptowährungsneuling Ethereum droht in seine eigene Blase zu explodieren. Das Interesse an Blockchain, Bergbau und Kryptowährung ist auf einem historischen Höchststand. Warum sind Kryptowährungsbegeisterte also bedroht? Lesen Sie mehr mit atemberaubenden DDoS-Angriffen. Ein solcher Angriff traf den Blog des Sicherheitsforschers Brian Krebs mit 620 Gbit / s und zwang den DDoS-Schutz von Krebs schließlich, ihn als Kunden fallen zu lassen. Ein weiterer Angriff in den folgenden Tagen traf den französischen Cloud-Hosting-Anbieter OVH mit 1,2 TBit / s im größten Angriff, der je gesehen wurde. Das Bild unten zeigt, wie viele Länder Mirai getroffen haben.
Obwohl Mirai noch nicht einmal das größte Botnet war, das jemals gesehen wurde, führte es zu den größten Angriffen. Mirai hat verheerende Auseinandersetzungen mit lächerlich unsicheren IoT-Geräten eingesetzt. Ist Ihr intelligentes Zuhause durch die Sicherheitslücke im Internet der Dinge gefährdet? Ist Ihr Smart Home durch Sicherheitslücken im Internet der Dinge gefährdet? Ist das Internet der Dinge sicher? Sie würden es hoffen, aber eine kürzlich durchgeführte Studie hat gezeigt, dass Sicherheitsbedenken, die vor einigen Jahren erhoben wurden, noch nicht angegangen wurden. Ihr intelligentes Zuhause könnte gefährdet sein. Lesen Sie mehr, verwenden Sie eine Liste von 62 unsicheren Standardkennwörtern, um Geräte anzusammeln (admin / admin war oben auf der Liste, siehe Abbildung)..
Der Sicherheitsforscher Marcus Hutchins (auch MalwareTech genannt) erklärt, dass ein Teil der Gründe für Mirais massive Macht darin liegt, dass die Mehrheit der IoT-Geräte dort sitzt und nichts tut, bis sie angefordert werden. Das bedeutet, dass sie fast immer online sind und fast immer Netzwerkressourcen zum Teilen zur Verfügung haben. Ein traditioneller Botnetzbetreiber analysiert seine Spitzenleistungsperioden und Zeitangriffe entsprechend. IoT-Botnets, nicht so sehr.
Je weniger schlecht konfigurierte IoT-Geräte online sind, desto größer ist die Chance für die Nutzung.
Sicher bleiben
Wir haben gelernt, was ein Botnetz macht, wie es wächst und mehr. Aber wie verhindern Sie, dass Ihr Gerät Teil eines Geräts wird? Nun, die erste Antwort ist einfach: Aktualisieren Sie Ihr System. So beheben Sie Windows 10: Häufig gestellte Fragen für Anfänger. So beheben Sie Windows 10: Häufig gestellte Fragen für Anfänger. Wir beantworten die am häufigsten gestellten Fragen zur Verwendung und Konfiguration von Windows 10. Weitere Informationen. Durch regelmäßige Updates werden anfällige Lücken in Ihrem Betriebssystem geflickt, wodurch die Möglichkeiten für die Nutzung eingeschränkt werden.
Das zweite ist das Herunterladen und Aktualisieren eines Antivirenprogramms sowie eines Antimalwareprogramms. Es gibt zahlreiche kostenlose Antivirus-Programme, die einen hervorragenden Schutz vor geringen Auswirkungen bieten. Investieren Sie in ein Antimalware-Programm, wie Malwarebytes. Das vollständige Handbuch zur Entfernung von Malware Das vollständige Handbuch zur Entfernung von Malware Malware ist heutzutage allgegenwärtig. Die Beseitigung von Malware in Ihrem System ist ein langwieriger Prozess, der eine Anleitung erfordert. Wenn Sie glauben, dass Ihr Computer infiziert ist, ist dies die Anleitung, die Sie benötigen. Weiterlesen . Mit einem Malwarebytes Premium-Abonnement sparen Sie 24,95 $ für das Jahr und erhalten so Echtzeit-Malware-Schutz. Meiner Meinung nach die Investition wert.
Holen Sie sich schließlich zusätzliche Browser-Sicherheit. Drive-by-Exploit-Kits sind ein Ärgernis, aber sie lassen sich leicht vermeiden, wenn Sie eine scriptblockierende Erweiterung wie uBlock Origin verwenden.
War Ihr Computer Teil eines Botnetzes? Wie hast du es realisiert? Haben Sie herausgefunden, welche Infektion Ihr Gerät verwendete? Teilen Sie uns unten Ihre Erfahrungen mit!
Erfahren Sie mehr über: Botnet, Computersicherheit.