Die neulich auftauchenden WannaCryptor Ransomware-Angriffe eroberten die Medien im Sturm. Sehr ausführlich wurde darüber berichtet. Auf andere Malware-Bedrohungen wie Botnets wurde aber nicht eingegangen.
Aber es gibt Malware, die weitaus gefährlicher als Ransomware ist. Wir denken da zum Beispiel an die Übernahme der Kontrolle eines PCs. Dieser Typ Malware ist in der Lage, eine große Anzahl fremder Computer zu kapern und sie in Netzwerke einzubinden. Diese nennt man Botnets.
Der Grund, warum Botnets gegenüber Ransomware die größere Bedrohung darstellen, liegt in der Nützlichkeit für Cyber-Kriminelle begründet. Durch Botnets können diese nahezu jede Aufgabe mit einer fast 100%igen Erfolgsquote ausführen. Es stimmt natürlich, dass Botnets nicht so offensichtlich und greifbar wie Ransomware sind. Die Botnetzwerke fliegen unter dem Radar der Öffentlichkeit.
Botnets schädigen nicht nur die unmittelbar kompromittierten Computer, sondern auch andere Geräte. Sie verschicken Spam, verteilen unterschiedlichsten Scam oder verschiedene Ransomware, vollziehen DDoS-Attacken oder werden dazu benutzt, Advertising-Netzwerke auszutricksen. Jede einzelne Bedrohung ist besorgniserregend. Spam ist beispielsweise für 50% – 70% des weltweiten E-Mail-Traffics verantwortlich. Unter den Mails mit schädlichem Anhang taucht Ransomware mit 85% am häufigsten auf.
Aus Sicht des Besitzers eines kompromittierten Computers stellt sich die Situation so dar, dass ein Botnet-Betreiber in das System einbrechen kann, um beispielsweise Anmeldeinformationen vom Online-Banking oder Social Media Account abzugreifen oder die Ressourcen des Rechners zumindest für Bitcoin Mining zu missbrauchen. Die am meisten unterschätze Fähigkeit eines Botnets ist jedoch die Verschlüsselungsmöglichkeit einzelner dem Netzwerk angehöriger Geräte (Bots).
Aktuelle Entwicklungen bei Botnets
Innerhalb des Ausbaus cyberkrimineller Aktivitäten suchen Botnet-Betreiber immer nach möglichen Spielräumen, Computer in ihre Gewalt zu bringen. Ihr ursprüngliches Mittel der Monetarisierung war die Spam-Verteilung. Potente Botnets können Milliarden von Spam-E-Mails am Tag verschicken. Der bisherige Rekordhalter ist das Marina Botnet, mit einer Spam-Kapazität von von über 90 Milliarden E-Mails.
Die größten Botnets in der Geschichte waren einfach zu groß, um sich der Aufmerksamkeit von Behörden und Sicherheitsfirmen zu entziehen, die viele Operationen gegen Botnetze initiiert und letztendlich einige von ihnen zerschlagen haben.
Um eine Entdeckung zu vermeiden und die Resilienz zu verbessern, sind Innovationen von Botnet-Entwicklern notwendig. Sie haben das simple Client-Server-Modell aufgegeben und auf das P2P-Modell (Peer-to-Peer) umgestellt. Dabei dienen Bots sowohl als Server als auch als Client, d.h. sie senden und empfangen Befehle und vermeiden so einen konzentrierten Ausfallpunkt.
Erst im Dezember 2016 wurde ein Botnet namens Avalanche in einer koordinierten Aktion zwischen Behörden und Sicherheitsfirmen, darunter ESET, zerschlagen. Die Infrastruktur des Avalanche-Botnets war komplex und sehr belastbar. Es verwendete die sogenannte Double-Fast-Flux-Technologie, die häufig sowohl die IP-Adressen der C&C-Server als auch die Name-Server ändert.
Um das Botnetz abzuschalten, wurden 800.000 Web-Domain-Adressen beschlagnahmt, blockiert oder Traffic an einen Sinkhole-Server umgeleitet. Am Ende wurden 220 Server abgeschaltet und fünf Personen verhaftet. Avalanche verursachte möglicherweise mehr als eine Million Opfer – etwa die Hälfte konnte identifiziert und von ihren ISP benachrichtigt werden. Avalanche streute ganz unterschiedliche Arten von Malware, meist Anmeldeinformations-Diebe, Ransomware und Bank-Trojaner. Das ist ein klares Indiz dafür, dass dieses Fast-Flux-Netzwerk als Dienstleistung an andere Cyber-Kriminelle verkauft wurde.
Botnets: nicht nur Personal Computer im Visier
Typischerweise sind es die Ressourcen von PCs, auf die es Botnets abgesehen haben. Daneben gibt es aber auch noch Server und „Things“, die massig Leistung zur Verfügung stellen. Jede Ressource hat ganz unterschiedliche Vorteile für Cyber-Kriminelle.
Infizierte Webserver können Traffic umleiten. Da sie außerdem viel leistungsfähiger als Computer sind und oftmals sowieso an schnelleren Internetleitungen sitzen, eignen sie sich optimal für die Spamverteilung.
IoT-Geräte (Internet of Things) sind allgemein hin schlecht gesichert und dadurch leichter mit Malware zu kompromittieren. Aufgrund ihrer Eigenschaften können die Geräte für nur einfachste Aufgaben benutzt werden – ihre Ressourcen benutzen die Cyber-Kriminellen meistens für gezielte DDoS-Angriffe. Nach Gartner, einem führenden IT-Forschungs- und Beratungsunternehmen, wird die Anzahl der vernetzten IoT-Geräte bis 2020 die 20 Milliarden-Marke durchbrochen haben.
Versklavte Server
Eines der größten Server-Botnets in der Geschichte wurde durch die koordinierte Aktion von Strafverfolgungsbehörden mehrerer Länder und der Unterstützung von ESET im Jahr 2014 zerschlagen. Die Operation Windigo führte zur Vivisektion des großen Botnets, dass sich die Linux / Ebury OpenSSH Hintertür zunutze machte. Die Analysen von ESET ergaben, dass über 25.000 Server in zwei Jahren vor der Operation betroffen waren. Mehr als 10.000 davon waren noch am Tag der Zerschlagung kompromittiert. Die infizierten Web-Server wurden verwendet, um eine halbe Million Internet-User täglich auf schädliche Inhalte umzuleiten und mehr als 35 Millionen Spam-Nachrichten pro Tag zu versenden.
Mumblehard war ein weiteres Botnet, dass mit Hilfe der Expertise von ESET abgeschaltet werden konnte. Eine Analyse des im Sinkhole gelandeten C&C-Server-Traffics verdeutlicht, dass das Botnet aus rund 4.000 kompromittierten Servern bestand, die Spam verschickten.
Zu diesem Zweck nutzte die hinter Mumblehard stehende Gang ein Skript, welches automatisch eine der führenden Blacklists, die Spamhaus Composite Blocking List für IP-Adressen aller Spam-Bots, überwachte. Wenn eine der eigenen IP-Adressen auf der schwarzen Liste gefunden wurde, bat das Skript um das Auslisten der IP-Adresse. Solche Anfragen werden standardmäßig mit einem CAPTCHA geschützt, um diesen automatisierten Anfragen vorzubeugen. Allerdings wurde OCR (optische Zeichenerkennung) oder wenn das nicht funktionierte auch ein externer Dienst eingesetzt, um den Schutz zu überlisten.
Versklavte IoT-Geräte
Besonders prominent wurden die IoT-Botnets im Oktober 2016, als der Domain Name System (DNS) Service Provider Dyn Ziel einer anhaltenden DDoS-Attacke war. Dies führte zu Ausfällen an wichtigen Standorten und von Dienstleistungen, einschließlich Twitter, SoundCloud, Spotify und viele andere. Indizien deuteten darauf hin, dass Informationen aus dem Mirai Botnet genutzt wurden. Später tauchte es in der Attacke gegen die „Krebs on Security“-Website wieder auf. Dabei entstand ein Traffic von 620 Gbit/s, der wenig später durch eine rekordverdächtige 1 Tbit/s Attacke auf den Web Hosting Provider OVH überboten wurde.
Mirai ist ein Botnetzwerk aus Online-Consumer-Geräten (IoT-Geräten) wie IP-Kameras und Heim-Router, die mit der Mirai-Malware kompromittiert werden. Die Malware scannt das Internet zunächst auf anfällige Ressourcen. Sie hat es auf veraltete Linux-Versionen und Standardeinstellungen (werkseitig vorgegebene Anmeldeinformationen) abgesehen. Solches Gerät wird infiziert und Teil des Botnets. Selbstständig prüft es den C&C-Server auf auszuführende Befehle. Dazu gehört beispielsweise das Anfordern der IP-Adresse des nächsten Ziels für die Durchführung einer koordinierten Attacke.
Leider wurde der Quellcode für die Mirai-Malware in Hacker-Foren als Open-Source zur Verfügung gestellt. Das ermöglicht eine breitere Anwendung der eingesetzten Techniken und eine Implementierung in andere Malware-Projekte.
ESET-Forschungen legen nahe, dass fast jeder siebte Heim-Router gefährdet ist. Weltweit sind das etwa 105 Millionen unsichere Geräte, die einem hohen Risiko ausgesetzt sind, mit Mirai ähnlicher Malware kompromittiert und für IoT DDoS-Angriffe missbraucht zu werden. Die Anhäufung von DDoS-Attacken (egal ob daran Computer, Server oder IoT-Geräte beteiligt sind) erfordert technische und rechtliche Maßnahmen in Unternehmen.
Necurs: Ein Botnet kehrt zurück
Necurs, das weltweit größte Spam-Botnet mit fast fünf Millionen infizierten Bots, von denen bis zu eine Million aktiv sind, hat ein neues Modul implementiert, mit dem man DDoS-Angriffe starten kann. Das Modul wurde bereits im Jahr 2016 hinzugefügt, wurde aber erst vor kurzem von Sicherheitsforschern entdeckt und untersucht.
Sollten die Necurs-Botnet-Betreiber wirklich einen Full-Size-DDoS-Angriff starten, wäre das bei weitem der größte in der Geschichte der IT-Security. Allerdings erregt diese Nachricht nicht sehr viel Aufmerksamkeit. Warum?
Necurs war ein stetiger Teil der Spam-Szene und ein weltweit führender Anbieter von Ransomware-Distribution. Doch seit Dezember 2016 mischte Necurs auch in einer anderen Art von Cyber-Kriminalität mit. Das Botnet verschickte Scam-Mails mit Fake-News zu ausgesuchten Aktien mit dem Ziel, den Preis für die Wertpapiere aufzublasen, um sie später gewinnbringend veräußern zu können („Pump and Dump„-Aktion).
Von Ransomware über Aktienmanipulation bis hin zu DDoS-Attacken im Laufe nur einiger Monate - die Geschwindigkeit, mit der die Necurs-Betreiber ihre Botnet-Nutzung verändern, zeigt, dass es dramatische Entwicklungen in der Botnets-Szene gibt.
Mit Ausnahme der DDoS-Fähigkeit setzen alle derzeit eingesetzten Botnets-Geschäftsmodelle auf langfristige Nachhaltigkeit. Verständlicherweise sind die Bemühungen für das Aufsetzen eines Botnets der schwierigste Teil für die Cyber-Kriminellen. Das Letzte, was sie gebrauchen können, ist die Aufmerksamkeit der Behörden zu erregen, einer der Sinkholes zu begegnen oder die Beschlagnahmung von Servern. All das könnte die Cyber-Kriminellen hinter Gitter bringen.
Anscheinend hindert das Fokussieren auf Nachhaltigkeit die großen Botnets-Betreiber daran, spektakuläre DDoS-Angriffe durchzuführen. Sollten sie sich – aus welchen Grund auch immer – für einen Angriff entscheiden, dürfte uns etwas Außergewöhnliches erwarten. Diese DDoS- oder Ransomware-Attacke könnte alle Rekorde brechen.
Unterschätzte Bedrohung: Alle Botnets halten Geiseln
Die oben genannten Bedrohungen untermauern unsere Behauptung, dass Botnets gefährlicher als die Ransomware-Kampagnen sind, welche das Internet bis jetzt überschattet haben. Betrachten wir die Relationen: der letzte Ransomware-Ausbruch – WannaCryptor aka WannaCry – betraf rund 350.000 Computer.
Botnets halten insgesamt Hunderte von Millionen Computern (nach Angaben des FBI sind weltweit rund 500 Millionen Computer bereits kompromittiert) als „Geiseln“. Quasi jeder Rechner kann jederzeit einzeln verschlüsselt werden. Wenn sich die Cyber-Kriminellen eines Tages dazu entscheiden sollen, brauchen sie nur eine ihnen beliebige Ransomware an die Bots verteilen. Es wäre so einfach wie die Bereitstellung neuer Anweisungen, Spam zu verteilen oder neue Massenangriffe zu initiieren. Mit anderen Worten würde eine Operation zur Verschlüsselung aller aktiven Computer in einem Botnet wahrscheinlich eine 100%ige Erfolgsquote erreichen – ohne, dass sich dieser Aktion etwas in den Weg stellt.
Botnets-Schutz: Lösung benötigt
Selbst ohne die akute Gefahr der Verschlüsselung aller Bots, sind Botnets bedrohlich. Deshalb sollten sowohl Konsumenten als auch Unternehmen es dringlichst vermeiden, einer Botnet-Malware zum Opfer zu fallen. Natürlich ist es das ultimative Ziel, jegliche Malware daran zu hindern, Grenzen zu überschreiten oder sie bösartige Aufgaben auszuführen zu lassen. Um dieses Ziel zu erreichen, sollte eine breite Palette an Sicherheitstools und -methoden eingesetzt werden - angefangen vom Sicherheitstraining bis hin zur Implementierung von Endpoint Security. Dazu gehören auch Netzwerksicherheitslösungen für Datenschutz und Backup-/Recovery-Lösungen.
Eine weitere Schutzschicht schirmt Botnets ab und sorgt dafür, dass man der dahinterstehenden Angriffsart nicht zum Opfer fällt. Führende Anbieter – wie ESET – bieten einen speziellen Botnet-Schutz an, um bösartige oder verdächtige Kommunikation von Botnets zu erkennen. Eine solche Kommunikation wird gesperrt und dem Benutzer gemeldet.
Ransomware ist ein sehr ernstzunehmendes und zugleich sichtbares Problem; Doch Botnets stellen eine viel größere und verborgene Bedrohung dar – Sollten es große Botnet-Betreiber wagen, einen vollumfänglichen DDoS-Angriff durchzuführen, könnte das viele Internetaktivitäten lähmen.
