In den Fängen der Bots

Botnets bilden für Firmen und Private eine ständige Bedrohung. Wir klären die Hintergründe und zeigen, wie man sich schützen kann.

Artikel erschienen in Swiss IT Magazine 2006/15

     

Der Begriff «Bot» ist eine Abkürzung aus «Software Robot». Dies umschreibt schon recht genau, worum es sich handelt: Eine Software, welche ein System von aussen kontrollierbar macht, und zwar meist ohne das Wissen des Users. Systeme, welche über solche Bots kontrolliert werden, bezeichnet man üblicherweise als «Zombie». Die Bots melden sich normalerweise über (versteckte) Chaträume bei ihrem Master, dem sogenannten «Bot Herder», und warten auf Anweisungen. Ein solcher Verbund von Bots, welche über einen gemeinsamen Kanal gesteuert werden, wird als «Botnet» bezeichnet.
Im Gegensatz zu Viren und Würmern verhalten sich Bots auf ihrem Wirtsystem sehr ruhig und versuchen, dessen tägliche Aufgaben nicht zu stören oder zu beeinflussen. Ein Bot soll unbemerkt bleiben, um das System so lange wie möglich als Zombie dem Botnet zur Verfügung zu stellen.
Um auf dem System verborgen zu bleiben, wenden Bots verschiedene Tricks und Methoden an. Ein Bot nistet sich im System so ein, dass er bei jedem Neustart wieder aktiviert wird. Des weiteren versteckt er seine Prozesse vor dem User, sei dies durch die Vortäuschung wichtiger Systemprozesse (durch entsprechende Namensgebung) oder aber durch den Einsatz von Rootkit-Methoden zur Verbergung des kompletten Prozesses. Ebenso sind Programverzeichnisse einiger Bots im System nicht durch normale Tools erkennbar und erschweren ein Aufspüren signifikant. Ein Bot verursacht in meist kaum Netzwerk-Traffic und versucht, im «normalen» Surf-Alltag unterzutauchen.


Fiese Software wird schlauer

Bots können keineswegs nur als dumme Roboter bezeichnet werden. Moderne Bots sind Meister der Tarnung und verfügen über komplexe Mechanismen, welche verschiedenste Funktionen ermöglichen. Diese beschränken sich nicht nur auf mögliche Angriffe, sondern beinhalten immer öfter auch Methoden, wie sich der Bot selber updaten und mit neuen Funktionen ausrüsten kann. So ist es einem Bot Herder möglich, bestehende Botnets nicht nur mit Befehlen für Angriffe zu instruieren, sondern auch mit Updates zu versehen. Diese können nicht nur bestehende Fehler korrigieren – es ist so auch möglich, die Bots mit neuen Scan- und Angriffsmethoden ausrüsten.
Bots werden auf verschiedenste Weise in Computersysteme eingeschleust:

- Hack eines Systems und Installation des Bot.



- Verbreitung der Bots über virenähnliche Mechanismen (Mail-Attachments, infizierte Applikationen, ...).

- Verbreitung über bestehende Verwundbarkeiten (RPC, LSASS, MSSQL) mit wurmähnlichen Mechanismen.

- Verbreitung über offene Netzwerk-Shares.

- Verbreitung der Bots durch bestehende Botnets.

- Installation über Sicherheitslücken in Browsern (WMF, JPEG, JavaScript) beim Besuch einer Webseite.

- Ausnutzen von Instant Messaging und Peer-to-Peer-Netzwerken.

Den Möglichkeiten sind kaum Grenzen gesetzt und Bots nutzen praktisch jede erdenkliche Art.


Vielfältige Bot-Varianten

Der Einsatz eines Botnet ist sehr vielseitig und wird ständig um neue findige Ideen erweitert.
Als eine der Ursprungsaufgaben eines Botnet kann die Durchführung von Distributed-Denial-of-Service-Attacken (DDoS) betrachtet werden. Dabei instruiert der Bot Herder sein Netz aus Zombies, einen bestimmten Server im Internet mit Anfragen zu bombardieren. Das Opfer wird dabei von so vielen Systemen im Internet mit Anfragen überhäuft, dass es schlicht nicht mehr alle behandeln kann, zunächst einzelne Anfragen verwerfen muss und später angesichts der schieren Masse aufgibt. Die Effizienz einer solchen DDoS-Attacke hängt deshalb direkt mit der Anzahl Zombies und deren Internetbandbreite ab. Ist die Zahl der Zombies und der kumulativen Internetbandbreite genügend hoch, so können sogar Internetkolosse wie Amazon, Ebay oder Yahoo in die Knie gezwungen werden: Im Februar 2000 sorgte eine grossangelegte DDoS-Attacke für Schlagzeilen. Yahoo, Ebay und Amazon wurden Opfer dieses Angriffs, und es entstand ein geschätzter Schaden von rund 1,2 Milliarden Dollar. Auch Microsoft wurde 2001 Opfer einer solchen Attacke und hatte während zweier Tagen mit Netzwerkproblemen zu kämpfen, was einem Schaden von rund 500 Millionen Dollar entsprach. Gerade für stark E-Business-orientierte Firmen können Denial-of-Service-Attacken nicht nur bedeutende finanzielle Schäden verursachen, sondern auch deren Ruf gefährden.
Das Versenden von Spam wurde schnell als lukratives Geschäft entdeckt und in das Repertoire der Bots aufgenommen. So finden sich heute einige Bots im Einsatz, welche über eigene Mail-Engines verfügen oder aber bestehende Infrastrukturen zum Versenden von Mails ausnutzen.
Bots werden auch für andere gewinnbringende Dienste verwendet. So gibt es ganze Botnets, welche praktisch als User getarnt Online-Werbung anklicken. Die meisten Werbebannersysteme zahlen dabei dem Betreiber der Webseite, welche die geklickten Banner anzeigte, eine gewisse Geldsumme. Über dieses System und mit der Hilfe von einigen tausend Bots kann schnell eine bedeutende Geldsumme «erklickt» werden. Das Vorgehen wird oft als Advertisement Abuse bezeichnet.


Bots stehlen Identitätsdaten

Durch die Natur der Bots werden diese jüngst auch immer öfter für Identity-Theft-Attacken eingesetzt. Da sich Bots bereits auf einem System eingenistet haben, sind diese in der perfekten Ausgangslage, um über Keylogger und Sniffer Informationen aufzuzeichnen. Ebenfalls können diese kleinen «Agenten» die lokalen Speicherträger nach interessanten Informationen durchsuchen. Dabei interessieren vor allem Daten wie Kreditkarten-Nummern, Webseiten-Logins und -Passwörter, Daten für E-Banking, CD-Keys und Lizenznummern für Software sowie (vor allem in den USA) Social-Security-Nummern. Die Bots überwachen ihren Wirt und senden die gesammelten Informationen an den zentralen Server zur weiteren Auswertung respektive Verwendung durch den Bot Herder.




Wie erwähnt, tauchen immer wieder neue Einsatzfelder der Bots auf und diese Liste soll lediglich einen Eindruck von den Möglichkeiten vermitteln. Bereits heute werden Bots für weitere Bereiche verwendet. Dazu gehört beispielsweise die Verbreitung von Viren, sie agieren als Proxy (meist als eine Art Zwischenstation für Netzwerkverkehr, um dessen Ursprung zu verschleiern), zum Angriff auf andere Botnets (es ist im Internet schon zu Botnet-Kriegen gekommen) oder aber auch zur Manipulation von Umfragen und Online-Games.
Die wenigsten Bots im Umlauf unterstützen all diese Optionen. Die meisten haben ihre Spezialitäten und wurden mit einer speziellen Aufgabe programmiert. Bots werden wie Viren behandelt, das heisst die gängigen Anti-Viren-Hersteller erkennen neben Viren und Würmern auch Bots. Entsprechend werden die Bots wie Viren klassifiziert und erhalten einen Namen.
Zu den bekanntesten Bots gehören:



- Agobot, einer der ersten Bots überhaupt. Es existieren über 3000 Varianten des ursprünglichen Codes. Der Bot wurde in C++ geschrieben und als Open Source veröffentlicht. Er kann sehr leicht um neue Optionen erweitert werden und bietet bereits in der Grundversion Rootkit-Funktionen und Anti-Reverse-Engineering.

- Berühmt wurde auch die Familie der SDBots, welche sich über Netzwerk-Shares verbreiten und auf dem System als Service laufen. Heute sind unzählige Verbreitungsmöglichkeiten des SDBots bekannt. Dies überrascht nicht, da laut McAfee über 10‘000 Varianten des SDBot existieren.



- Als GT-Bots werden alle mIRC-basierten Bots zusammengefasst. Diese starten den IRC-Client im Hintergrund und rüsten diesen mit zusätzlichen Libraries zu einem vollwertigen Bot um.

Die Vielfalt an Bots, deren Möglichkeiten und Einsatzfelder ist gross und leider oft auch etwas unüberschaubar. Fast täglich tauchen neue Varianten im Internet auf und immer wieder verwundern die kleinen Biester die Fachwelt mit ausgeklügelten Anti-Viren-Techniken oder neuen Optionen.


Risiko und Schutz

Man geht heute davon aus, dass unzählige Botnets im Internet existieren und täglich neue entstehen respektive bestehende weiter wachsen. Im Jahre 2004 schätzte man die Zahl der Botnets auf rund 30’000, wovon ein durchschnittliches Botnet aus rund 2000 Bots bestand.
An der enormen Zahl an Botnets sowie deren Grösse ist vor allem auch der Einzug von Breitbandanschlüssen in die Wohnstube verantwortlich. Nur zu oft sind Home-PCs stille Zombies und Teil eines Botnets, ohne dass dies der Besitzer je weiss. Botnets mit mehr als 100‘000 Bots werden wohl schon bald zur Tagesordnung gehören. Beim grössten bis dato aufgedeckten Botnet befanden sich sogar über 1 Million Zombies unter der Kontrolle eines Bot Herder. Sollten die Zombies über Breitbandanschlüsse mit dem Internet verbunden sein, so hat ein solches Botnet eine kumulative theoretische Bandbreite von rund 200GBit/s. Dies dürfte selbst für die ganz grossen Internetfirmen ein schwer zu schluckender Brocken sein, sollten diese Zombies alle zur gleichen Zeit mit Anfrage-Bombardements starten.
Betreiber von Botnets haben erkannt, dass sich mit ihren Helfern durchaus Geld verdienen lässt. So ist vor kurzem im Internet eine Webseite entdeckt worden, welche Botnets für ein paar hundert Dollar auf Stundenbasis vermietete. Es ist damit für jedermann möglich, DDoS-Attacken im grösseren Stil zu starten und so beispielsweise Konkurrenten kurz vor einem angekündigten Produktlaunch für ein paar Stunden vom Internet zu fegen. Botnets als solches stellen zudem eine ernstzunehmende Bedrohung für das Internet als solches dar: Mit einer genügend grossen Zahl an Bots wären auch Angriffe auf die Internet-Infrastruktur selber (z.B. DNS) denkbar.


Wie schützen?

Es stellt sich die Frage, welche Schutzmechanismen es gegen Bots und Botnets gibt. Das Problem kann nachhaltig nur durch Eindämmung der Bots gelöst werden. Um die Installation eines Bot zu verhindern, gelten allgemein gültige Sicherheitsvorkehrungen. Für Firmen ist sicherlich die Definition und Etablierung einer passenden Policy eine wichtige Voraussetzung und bietet die Basis für alle weiteren Sicherheitsanstrengungen. In einer Internet-Nutzungs-Policy kann beispielsweise der Einsatz von IRC-Clients verboten werden. Damit wird eine wichtige Voraussetzung geschaffen, um an den Firewalls Einstellungen zur technischen Verhinderung von IRC-Chats vorzunehmen.



Da Bots durch die meisten Anti-Viren-Lösungen entdeckt werden, ist ein durchdachtes Anti-Viren-Konzept zwingend notwendig. Dabei sei nicht nur die Bedeutung eines mehrschichtigen Anti-Viren-Schutzes hervorgehoben, sondern auch die enorme Wichtigkeit von aktuellen Virensignaturen. Gerade wenn man bedenkt, dass mehrere tausend neue Virensignaturen pro Tag erscheinen können, scheint es nur logisch, die Signaturen mehrmals pro Tag zu aktualisieren. Um den Bots möglichst schon gar keine Angriffsfläche zu bieten, sollten die Systeme auf einem aktuellen Patch-Level sein. Leider zeigte sich in Vergangenheit immer wieder, dass die Zeit zwischen dem Release eines Patches und der akuten Bedrohung durch einen Wurm immer kleiner wird. Um so wichtiger ist ein effizienter und Tool-unterstützter Patch-Prozess.




Zur effizienten Bot- und Botnet-Aufspürung und -Bekämpfung lohnt sich der Einsatz von Intrusion-Detection- (IDS) und -Prevention-Systemen (IPS). Diese Netzsensoren haben den grossen Vorteil, dass sie kaum durch lokale Manipulationen der Bots deaktiviert werden können und sie erkennen bereits aktive Bots und Botnets zuverlässig.
All diese Methoden zusammen bilden ein Schutzkonzept mit verschiedenen Schichten und helfen nicht nur bei der Bekämpfung dieser ungewollten Gäste, sondern bieten einen breiten Schutz gegen Angriffe auf die Informationssicherheit. Firmen mit wichtigen E-Commerce-Auftritten sei zudem der Einsatz moderner Anti-DDoS-Techniken empfohlen, denn auch der beste Sicherheitszustand hilft bei einer akuten DDoS-Attacke leider nur bedingt.


Fazit

Die Bedrohung durch immer cleverer werdende Bots im Internet ist Realität. Riesige Botnets können nicht nur einzelne Websites per DDoS-Attacke ausschalten, sondern stellen auch ein Gefahrenpotential für die Internet-Infrastruktur dar. Sollte vor allem auch die Kommerzialisierung weiter zunehmen respektive das organisierte Verbrechen Interesse daran finden, so dürften die Verbreitung und die Risiken sprunghaft steigen. Die Entwicklung der Bot-Technologien sollte aufmerksam verfolgt werden, um Trends wie zum Beispiel den Einsatz von neuen oder verschlüsselten Kommunikationskanälen (DNS-Traffic anstelle von IRC) frühzeitig zu erkennen und mögliche Gegenmassnahmen vorzubereiten. Bots und Botnets werden uns sicherlich auch über 2006 hinaus beschäftigen und begleiten.








Aufbau eines typischen Botnet




Der Autor

Reto Baumann ist IT Security Specialist bei IBM.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER