Einer meiner liebsten Cybersicherheitsbegriffe ist "Botnet". Er beschwört alle Arten von Bildern herauf: vernetzte Roboter, Legionen vernetzter Arbeiter, die gleichzeitig auf ein einziges Ziel hinarbeiten. Lustigerweise ähnelt das Bild, das das Wort hervorruft, dem, was ein Botnet ist - zumindest im Hinblick auf Umwege.
Botnets sind für eine beträchtliche Menge an Rechenleistung auf der ganzen Welt verantwortlich. Und diese Macht ist regelmäßig (vielleicht sogar durchgängig) die Quelle von Malware, Ransomware, Spam und mehr. Aber wie entstehen Botnetze? Wer kontrolliert sie? Und wie können wir sie aufhalten?
Was ist ein Botnet?
Die Botnet-Definition von SearchSecurity besagt, dass "ein Botnet eine Sammlung von mit dem Internet verbundenen Geräten ist, zu denen PCs, Server, mobile Geräte und Geräte im Internet der Dinge gehören, die mit einer gemeinsamen Art von Malware infiziert und kontrolliert werden. Die Benutzer sind sich oft nicht bewusst, dass ein Botnet ihr System infiziert. "
Der letzte Satz der Definition ist der Schlüssel. Geräte innerhalb eines Botnets sind in der Regel nicht bereit. Geräte, die mit bestimmten Malware-Varianten infiziert sind, werden von Remote-Threat-Akteuren, sogenannten Cyberkriminellen, kontrolliert. Die Malware versteckt die bösartigen Botnet-Aktivitäten auf dem Gerät, wodurch der Besitzer sich seiner Rolle im Netzwerk nicht bewusst wird. Du könntest Spam versenden, indem du Tablets zu Tausenden erweiterst - ohne eine Ahnung.
Daher beziehen wir uns oft auf infizierte Botnet-Geräte. Ist Ihr PC ein Zombie? Und was ist ein Zombie-Computer? [MakeUseOf erklärt] Ist dein PC ein Zombie? Und was ist ein Zombie-Computer? [MakeUseOf Explains] Haben Sie sich jemals gefragt, woher der gesamte Internet-Spam kommt? Sie erhalten wahrscheinlich täglich Hunderte von Spam-gefilterten Junk-E-Mails. Bedeutet das, es gibt Hunderte und Tausende von Menschen da draußen, sitzen ... Lesen Sie mehr zu als "Zombies."
Was macht ein Botnet?
Ein Botnetz hat je nach Wunsch des Botnetzbetreibers mehrere gemeinsame Funktionen:
- Spam: Unmengen von Spam rund um den Globus verschicken. Zum Beispiel betrug der durchschnittliche Anteil von Spam im globalen E-Mail-Verkehr zwischen Januar und September 56, 69 Prozent. Als das Sicherheitsforschungsunternehmen FireEye den Übergang des berüchtigten Srizbi-Botnets vorübergehend einstellte, nachdem das berüchtigte McColo-Hosting offline gegangen war, fiel der weltweite Spam-Aufkommen um eine große Zahl (und als er schließlich offline ging, sank der weltweite Spam-Anteil vorübergehend um etwa 50 Prozent).
- Malware: Bereitstellung von Malware und Spyware für anfällige Computer. Botnet-Ressourcen werden von Übeltätern gekauft und verkauft, um ihre kriminellen Unternehmen zu fördern.
- Daten: Erfassen von Passwörtern und anderen privaten Informationen. Dies knüpft an das Obige an.
- Klickbetrug: Ein infiziertes Gerät besucht Websites, um falschen Web-Traffic und Werbeeinblendungen zu generieren.
- Bitcoin: Botnet-Controller leiten infizierte Geräte an Bitcoin und andere Kryptowährungen, um in Ruhe Profit zu generieren.
- DDoS: Botnet-Betreiber lenken die Leistung infizierter Geräte auf bestimmte Ziele und schalten sie bei verteilten Denial-of-Service-Angriffen offline.
Botnet-Betreiber wenden ihre Netzwerke normalerweise auf eine Reihe dieser Funktionen an, um Profit zu generieren. Zum Beispiel besitzen Botnet-Betreiber, die medizinischen Spam an US-Bürger senden, auch die Apotheken, die die Waren liefern. (Oh ja, es gibt tatsächliche Produkte am Ende der E-Mail. Brian Krebs's Spam Nation ist ein exzellenter Blick darauf.)
Spam Nation: Die innere Geschichte der organisierten Cyberkriminalität - von der globalen Epidemie bis zur Haustür Spam Nation: Die innere Geschichte der organisierten Cyberkriminalität - von der globalen Epidemie bis zur Haustür Jetzt kaufen bei Amazon $ 9.31
Die großen Botnetze haben sich in den letzten Jahren leicht verändert. Während medizinische und andere ähnliche Arten von Spam lange Zeit extrem profitabel waren, führten die Razzien der Regierung in mehreren Ländern zu Gewinneinbußen. Laut Symantecs Intelligence Report vom Juli 2017 stieg die Anzahl der E-Mails, die einen bösartigen Anhang enthielten, auf eine von 359 E-Mails.
Wie sieht ein Botnet aus?
Wir wissen, dass ein Botnet ein Netzwerk infizierter Computer ist. Die Kernkomponenten und die tatsächliche Botnetzarchitektur sind jedoch interessant zu betrachten.
Die Architektur
Es gibt zwei Haupt-Botnet-Architekturen:
- Client-Server-Modell: Ein Client-Server-Botnet verwendet normalerweise einen Chat-Client (früher IRC, aber moderne Botnets haben Telegram und andere verschlüsselte Messaging-Dienste verwendet), eine Domäne oder eine Website, um mit dem Netzwerk zu kommunizieren. Der Operator sendet eine Nachricht an den Server und leitet sie an Clients weiter, die den Befehl ausführen. Obwohl die Botnet-Infrastruktur von grundlegend bis sehr komplex ist, kann ein konzentrierter Aufwand ein Client-Server-Botnet deaktivieren.
- Peer-to-Peer: Ein Peer-to-Peer (P2P) -Botnet versucht, Sicherheitsprogramme und Forscher durch die Schaffung eines dezentralen Netzwerks zu stoppen, indem es spezifische C2-Server identifiziert. Ein P2P-Netzwerk ist weiter fortgeschritten 10 Netzwerk-Begriffe, die Sie wahrscheinlich nie gewusst haben, und was sie bedeuten 10 Netzwerk-Begriffe, die Sie wahrscheinlich nie wussten, und was sie bedeuten Hier werden wir 10 gemeinsame Netzwerkbegriffe erkunden, was sie bedeuten und wo Sie wahrscheinlich begegnen Sie. Lesen Sie in mancher Hinsicht mehr als ein Client-Server-Modell. Außerdem unterscheidet sich ihre Architektur von der, die sich die meisten vorstellen. Anstelle eines einzigen Netzwerks miteinander verbundener infizierter Geräte, die über IP-Adressen kommunizieren, bevorzugen die Betreiber die Verwendung von Zombie-Geräten, die wiederum mit Knoten verbunden sind, die wiederum miteinander und mit dem Hauptkommunikationsserver verbunden sind. Die Idee ist, dass es einfach zu viele miteinander verbundene, aber separate Knoten gibt, die gleichzeitig abgebaut werden können.
Steuerung und Kontrolle
Command and Control (manchmal geschrieben C & C oder C2) Protokolle kommen in verschiedenen Formen:
- Telnet: Telnet-Botnets sind relativ einfach und verwenden ein Skript, um IP-Bereiche nach Standard-Telnet- und SSH-Server-Logins zu durchsuchen, um anfällige Geräte zum Hinzufügen von Bots hinzuzufügen.
- IRC: IRC-Netzwerke bieten eine Kommunikationsmethode mit extrem niedriger Bandbreite für das C2-Protokoll. Die Fähigkeit, schnell Kanäle zu wechseln, bietet zusätzliche Sicherheit für Botnet-Betreiber, bedeutet aber auch, dass infizierte Clients leicht vom Botnet abgeschnitten werden, wenn sie keine aktualisierten Kanalinformationen erhalten. IRC-Verkehr ist relativ einfach zu untersuchen und zu isolieren, was bedeutet, dass viele Betreiber sich von dieser Methode entfernt haben.
- Domänen: Einige große Botnets verwenden zur Kontrolle Domänen statt eines Messaging-Clients. Infizierte Geräte greifen auf eine bestimmte Domäne zu, die eine Liste von Steuerbefehlen enthält, so dass Änderungen und Aktualisierungen während des Betriebs leicht möglich sind. Der Nachteil besteht in der großen Bandbreite, die für große Botnets erforderlich ist, sowie in der relativen Leichtigkeit, mit der verdächtige Kontrolldomänen abgeschaltet werden. Einige Betreiber nutzen sogenanntes kugelsicheres Hosting, um außerhalb der Zuständigkeit von Ländern mit striktem Internetverbot zu agieren.
- P2P: Ein P2P-Protokoll implementiert normalerweise digitale Signaturen mit asymmetrischer Verschlüsselung (ein öffentlicher und ein privater Schlüssel). Das heißt, während der Betreiber den privaten Schlüssel besitzt, ist es extrem schwierig (im Wesentlichen unmöglich), dass jemand anderes dem Botnetz verschiedene Befehle erteilt. Ähnlich macht es das Fehlen eines einzigen definierten C2-Servers schwieriger, ein P2P-Botnet anzugreifen und zu zerstören.
- Andere: Im Laufe der Jahre haben Botnetzbetreiber einige interessante Command-and-Control-Kanäle genutzt. Sofort kommen mir Social-Media-Kanäle in den Sinn, wie das über Twitter gesteuerte Android Twitoor-Botnet oder das Mac.Backdoor.iWorm, das die Minecraft-Server-Liste subreddit nutzt, um IP-Adressen für sein Netzwerk abzurufen. Instagram ist auch nicht sicher. Im Jahr 2017 nutzte Turla, eine Cyber-Spionage-Gruppe mit engen Verbindungen zum russischen Geheimdienst, Kommentare zu Instagram-Fotos von Britney Spears, um den Standort eines C2-Servers für Malware-Verteilung zu speichern.
Zombies
Das letzte Stück des Botnet-Puzzles sind die infizierten Geräte (also die Zombies).
Botnet-Betreiber suchen gezielt nach anfälligen Geräten und infizieren diese, um ihre Betriebsleistung zu erhöhen. Wir haben die wichtigsten Botnet-Anwendungen oben aufgelistet. Alle diese Funktionen erfordern Rechenleistung. Außerdem sind Botnet-Betreiber nicht immer freundlich zueinander und schalten die Macht ihrer infizierten Maschinen aufeinander.
Die überwiegende Mehrheit der Zeit Zombie-Gerät Besitzer sind sich ihrer Rolle im Botnet nicht bewusst. Bisweilen fungiert Botnet-Malware jedoch als Kanal für andere Malware-Varianten.
Dieses ESET-Video gibt eine schöne Erklärung, wie Botnets expandieren:
Arten von Geräten
Vernetzte Geräte kommen mit einer erstaunlichen Geschwindigkeit online. Und Botnetze sind nicht nur auf der Suche nach einem PC oder Mac. Wie Sie im folgenden Abschnitt mehr lesen werden, sind Internet of Things-Geräte genauso anfällig für Botnet-Malware-Varianten (wenn nicht sogar noch mehr). Vor allem, wenn sie wegen ihrer entsetzlichen Sicherheit ausgesucht werden.
Wenn ich meinen Eltern sage, dass sie ihren brandneuen Smart TV, den sie zum Verkauf angeboten haben, zurückgeben, weil IOT sehr unsicher ist, macht mich das dann zu einer guten Tochter oder einer schlechten Tochter?
Ich fragte, ob es Sprachbefehle hören könne, sie sagten ja; Ich gab ein knisterndes Geräusch von sich. Sie sagten, wir werden morgen reden.- Tanya Janca (@shehackspurple) 28. Dezember 2017
Smartphones und Tablets sind ebenfalls nicht sicher. Android hat in den letzten Jahren mehrere Botnets gesehen. Android ist ein einfaches Ziel Wie kommt Malware in Ihr Smartphone? Wie kommt Malware in Ihr Smartphone? Warum wollen Malware-Anbieter Ihr Smartphone mit einer infizierten App infizieren und wie gelangt Malware in eine mobile App? Lesen Sie weiter: Es ist Open Source, hat mehrere Betriebssystemversionen und zahlreiche Sicherheitslücken gleichzeitig. Freue dich nicht so schnell, iOS-Nutzer. Es gab einige Malware-Varianten, die auf Apple-Mobilgeräte abzielen, obwohl sie normalerweise auf iPhones mit Sicherheitslücken beschränkt sind.
Ein anderes Core-Botnet-Geräteziel ist ein anfälliger Router 10 Wege, wie Ihr Router nicht so sicher ist wie Sie denken 10 Wege, wie Ihr Router nicht so sicher ist, wie Sie denken Hier sind 10 Möglichkeiten, wie Ihr Router von Hackern und Drive-By-Funkentführern ausgenutzt werden könnte . Weiterlesen . Router, auf denen alte und unsichere Firmware laufen, sind ein leichtes Ziel für Botnetze, und viele Besitzer werden nicht erkennen, dass ihr Internetportal eine Infektion aufweist. Ebenso kann eine einfach überwältigende Anzahl von Internetnutzern die Standardeinstellungen auf ihren Routern nicht ändern. 3 Standardpasswörter Sie müssen ändern & Warum 3 Standardpasswörter Sie müssen ändern & Warum Passwörter sind unbequem, aber notwendig. Viele Menschen neigen dazu, Passwörter zu vermeiden, wo immer dies möglich ist, und verwenden gerne Standardeinstellungen oder das gleiche Passwort für alle ihre Konten. Dieses Verhalten kann Ihre Daten und ... Lesen Sie mehr nach der Installation. Wie bei IoT-Geräten ermöglicht dies der Malware, sich mit einer unglaublichen Geschwindigkeit zu verbreiten, wobei bei der Infektion von Tausenden von Geräten wenig Widerstand geleistet wird.
Ein Botnet nehmen
Ein Botnet zu entfernen ist aus mehreren Gründen keine leichte Aufgabe. Manchmal ermöglicht die Botnetz-Architektur einem Betreiber, schnell wieder aufzubauen. Zu anderen Zeiten ist das Botnet einfach zu groß, um es auf einen Schlag zu entfernen. Die meisten Botnet-Takedowns erfordern eine Koordination zwischen Sicherheitsforschern, Regierungsbehörden und anderen Hackern, die sich manchmal auf Tipps oder unerwartete Backdoors verlassen.
Ein großes Problem, mit dem Sicherheitsforscher konfrontiert sind, ist die relative Leichtigkeit, mit der Nachahmerbetreiber ihre Operationen mit der gleichen Malware starten.
GameOver Zeus
Ich werde das GameOver Zeus (GOZ) Botnet als Takedown-Beispiel verwenden. GOZ war eines der größten Botnets der letzten Zeit, von dem man annahm, dass es über eine Million infizierter Geräte auf dem Höhepunkt hatte. Die hauptsächliche Nutzung des Botnets war Gelddiebstahl (Verteilung der CryptoLocker Ransomware. Eine Geschichte der Ransomware: Wo sie begann und wo sie hingeht Geschichte der Ransomware: Wo sie begann und wo sie hingeladen Ransomware stammt aus der Mitte der 2000er Jahre und wie viele Computer-Sicherheitsbedrohungen, Sie kamen aus Russland und Osteuropa, bevor sie sich zu einer immer mächtigeren Bedrohung entwickelten.Was aber hält die Zukunft für Ransomware (Read More) und Spam-Mail und schien mit einem ausgefeilten Peer-to-Peer-Domain-Generierungsalgorithmus nicht aufzuhalten.
Ein Domänenerzeugungsalgorithmus ermöglicht es dem Botnetz, lange Listen von Domänen als "Rendezvous-Punkte" für die Botnet-Malware vorzufertigen. Mehrere Rendezvous-Punkte machen es fast unmöglich, die Verbreitung zu stoppen, da nur die Operatoren die Liste der Domänen kennen.
Im Jahr 2014 zwang ein Team von Sicherheitsforschern, die in Zusammenarbeit mit dem FBI und anderen internationalen Organisationen arbeiten, GameOver Zeus schließlich dazu, die Operation Tovar offline zu schalten. Es war nicht einfach. Nachdem die Domänenregistrierungssequenzen registriert wurden, registrierte das Team in den sechs Monaten vor Beginn der Operation rund 150.000 Domains. Dies sollte eine zukünftige Domain-Registrierung von den Botnet-Betreibern blockieren.
Als nächstes gaben mehrere ISPs die Betriebssteuerung der GOZ-Proxy-Knoten, die von den Botnetzbetreibern zur Kommunikation zwischen den Befehls- und Kontrollservern und dem eigentlichen Botnetz verwendet werden. Elliot Peterson, der leitende FBI-Ermittler der Operation Tovar, sagte: "Wir waren in der Lage, die Bots zu überzeugen, mit denen wir gut reden konnten, aber alle von den bösen Jungs kontrollierten Peers und Pro-Nodes waren schlecht zu sprechen ignoriert werden."
Botnet Besitzer Evgeniy Bogachev (Online-Alias Slavik) erkannte, dass die Takedown nach einer Stunde in Kraft war, und versuchte, noch vier oder fünf Stunden zurückzuschlagen, bevor er die Niederlage "kassierte".
In der Folgezeit gelang es den Forschern, die berüchtigte CryptoLocker-Ransomware-Verschlüsselung zu knacken und kostenlose Entschlüsselungstools für Opfer zu entwickeln. CryptoLocker ist tot: So können Sie Ihre Dateien zurückbekommen! CryptoLocker ist tot: So erhalten Sie Ihre Dateien zurück! Weiterlesen .
IoT-Botnets sind anders
Die Maßnahmen gegen GameOver Zeus waren umfangreich, aber notwendig. Es zeigt, dass die schiere Kraft eines ausgeklügelten Botnets einen globalen Ansatz zur Entschärfung erfordert, der "innovative rechtliche und technische Taktiken mit traditionellen Strafverfolgungsinstrumenten" sowie "starke Arbeitsbeziehungen mit Experten aus der Privatwirtschaft und Strafverfolgungsbehörden in mehr als 10 Ländern erfordert Länder auf der ganzen Welt. "
Aber nicht alle Botnetze sind gleich. Wenn ein Botnet sein Ende erreicht, lernt ein anderer Betreiber von der Zerstörung.
Im Jahr 2016 war das größte und schlimmste Botnet Mirai. Vor der teilweisen Tötung traf das auf dem Internet der Dinge basierende Mirai-Botnet mehrere prominente Ziele. Warum Ihre Krypto-Münze nicht so sicher ist, wie Sie denken Warum Ihre Krypto-Münze nicht so sicher ist wie Sie denken Bitcoin erreicht weiterhin neue Höhen. Cryptocurrency Newcomer Ethereum droht in seine eigene Blase zu explodieren. Das Interesse an Blockchain, Mining und Kryptowährung ist auf einem Allzeithoch. Warum sind also Enthusiasten der Kryptowährung bedroht? Lesen Sie mehr mit atemberaubenden DDoS-Angriffen. Ein solcher Angriff traf den Blog des Sicherheitsforschers Brian Krebs mit 620 Gbps und zwang schließlich den DDoS-Schutz von Krebs dazu, ihn als Kunden fallen zu lassen. Ein weiterer Angriff in den folgenden Tagen traf den französischen Cloud-Hosting-Anbieter OVH mit 1, 2 Tbps beim größten jemals gesehenen Angriff. Das untere Bild zeigt, wie viele Länder Mirai getroffen hat.
Obwohl Mirai nicht einmal annähernd das größte jemals gesehene Botnetz war, produzierte es die größten Angriffe. Mirai hat die Schwaden lächerlich unsicherer IoT-Geräte verheerend genutzt Ist Ihr Smart Home durch Sicherheitslücken im Internet der Dinge gefährdet? Ist Ihr Smart Home durch Sicherheitslücken im Internet der Dinge gefährdet? Ist das Internet der Dinge sicher? Sie würden es hoffen, aber eine kürzlich durchgeführte Studie hat gezeigt, dass Sicherheitsbedenken, die vor einigen Jahren aufgekommen sind, noch nicht behoben sind. Ihr Smart Home könnte in Gefahr sein. Lesen Sie mehr, indem Sie eine Liste von 62 unsicheren Standard-Passwörtern verwenden, um Geräte anzuhäufen (admin / admin stand ganz oben auf der Liste, siehe Abbildung).
Sicherheitsforscher Marcus Hutchins (alias MalwareTech) erklärt, dass ein Teil des Grundes für Mirais massive Macht darin besteht, dass die Mehrheit der IoT-Geräte dort sitzen und nichts tun, bis sie dazu aufgefordert werden. Das bedeutet, dass sie fast immer online sind und fast immer über Netzwerkressourcen verfügen. Ein traditioneller Botnetzbetreiber würde seine Spitzenleistungsperioden und Zeitangriffe entsprechend analysieren. IoT-Botnets, nicht so sehr.
Wenn also schlechter konfigurierte IoT-Geräte online gehen, steigt die Chance auf Ausnutzung.
Sicher bleiben
Wir haben erfahren, was ein Botnet tut, wie es wächst und mehr. Aber wie bremst du dein Gerät ab? Nun, die erste Antwort ist einfach: Aktualisieren Sie Ihr System So reparieren Sie Windows 10: Eine Anfänger-FAQ So beheben Sie Windows 10: Ein Anfänger-FAQ Benötigen Sie Hilfe bei Windows 10? Wir beantworten die am häufigsten gestellten Fragen zur Verwendung und Konfiguration von Windows 10. Lesen Sie weiter. Regelmäßige Updates bringen Schwachstellen in Ihrem Betriebssystem auf den Punkt, wodurch wiederum die Möglichkeiten für die Nutzung ausgeschöpft werden.
Die zweite Möglichkeit ist das Herunterladen und Aktualisieren eines Antivirenprogramms und eines Anti-Malware-Programms. Es gibt zahlreiche kostenlose Antivirus-Suiten, die exzellenten, geringen Aufprallschutz bieten. Investieren Sie in ein Antimalware-Programm wie Malwarebytes Das vollständige Handbuch zum Entfernen von Malware Das vollständige Handbuch zum Entfernen von Malware Derzeit gibt es überall Malware und die Beseitigung von Malware von Ihrem System ist ein langwieriger Prozess, der eine Anleitung erfordert. Wenn Sie glauben, dass Ihr Computer infiziert ist, ist dies die Anleitung, die Sie benötigen. Weiterlesen . Ein Malwarebytes-Premium-Abonnement kostet 24, 95 US-Dollar pro Jahr und schützt Sie in Echtzeit vor Malware. Die Investition lohnt sich meiner Meinung nach.
Ergreifen Sie schließlich zusätzliche Browsersicherheit. Drive-by-Exploit-Kits sind ein Ärgernis, aber sie sind leicht vermeidbar, wenn Sie eine Skript-blockierende Erweiterung wie uBlock Origin verwenden Was ist Cryptojacking und wie können Sie es vermeiden? Was ist Cryptojacking und wie können Sie es vermeiden? Eine neue Sicherheitsbedrohung ist in der Stadt: Kryptojacken, bei denen dein Computer entführt wird, um Bitcoins zu generieren. Aber wie weit verbreitet ist es, und wie können Sie damit aufhören, dass Ihr System auf diese Weise unterminiert wird? Weiterlesen .
War Ihr Computer Teil eines Botnets? Wie hast du es erkannt? Hast du herausgefunden, welche Infektion dein Gerät benutzt? Teilen Sie uns Ihre Erfahrungen mit!