Der Zombie unterm Schreibtisch - Bot-Netzwerke
Zombies gibt es nicht- auch wenn die letzten Bilder der Ashampoo-Weihnachtsfeier anderes vermuten lassen. Als Zombies werden aber auch Rechner bezeichnet, die von Schadsoftware befallen sind und nur darauf warten, fremdgesteuert in Aktion zu treten. Schafft es ein Cyber-Krimineller, gleich Tausende Rechner zu infizieren, hat er ein sog. Bot-Netzwerk (Bot von Roboter) und kann damit Chaos anrichten - und viel Geld verdienen. Oftmals bemerkt der Besitzer des Rechners wenig bis gar nichts davon, was auch so gewollt ist. Je länger der Vorgang unerkannt bleibt, desto länger kann der Rechner für üble Machenschaften genutzt werden. Was Bot-Netze sind, wie sie zustande kommen und was Sie dagegen machen können, lesen Sie hier.
Es beginnt (natürlich) mit der Infektion des Rechners. Wer häufiger diesen Blog liest, kennt schon die klassischen Wege. Kleine Schadprogramme kommen als E-Mail-Anhang, zusammen mit Raubkopien, getarnt als normales, nützliches Programm oder werden über Lücken in der Browser-Sicherheit eingeschleust. Meckert dann kann kein Antivirus, installiert sich die Schadsoftware unbemerkt. Verräterische Anzeichen werden oftmals mit einem sog. Rootkit unterdrückt. Eigentlich zur Administration gedacht, schränkt diese Software die Anzeige bestimmter Dateien oder auch Systemmeldungen ein, es macht die Infektion für Sie unsichtbar. Und dann kommt, auch wenn es seltsam "normal" klingt, meistens ein Update der Schadsoftware. Oftmals wird erst in diesem Moment entschieden, wofür der Rechner missbraucht werden soll. Denn die Möglichkeiten sind zahlreich!
Ganz klassisch (und nervig) ist hier der SPAM-Versand. Der Botnetz-Operator (sozusagen der Admin der Schadsoftware, auch Bot-Master genannt) nimmt über das Netz Kontakt zu den Tausenden von Rechnern auf, wo die Schadsoftware aktiv ist. Es werden Vorlagen für die SPAM- oder Phishing-Mails geladen, Adress-Listen der Empfänger und los geht’s. Der Mensch, der vielleicht gerade am Computer sitzt, bekommt häufig nur erhöhte Festplattenaktivität oder verminderte Leistung des Rechners mit- er sieht nichts. So kann der Bot-Master Millionen Mails von unterschiedlichen Rechnern mit unterschiedlichsten IP-Adressen versenden. Der Traum für jeden Spammer und lukrativ dazu.
Richtig böse wird es mit sog. DOS-Attacken (Denial of Service - Verweigerung des Dienstes). Damit kann man ganze Seiten lahm legen. Will man eine Seite attackieren, so werden die Bots dazu gebracht, möglichst viele Anfragen an die Server der Seite zu senden – bis nichts mehr geht. Wie das funktioniert? Stellen Sie sich einfach die Rezeption eines Hotels vor. Hier werden Gäste in Empfang genommen, man hilft Ihren weiter und schickt sie auf den Weg zu ihren Zimmern. Nichts anderes macht ein Server für eine Webseite. Sind plötzlich 200.000 Gäste in der Lobby, die sofortige Information brauchen, entsteht pures Chaos und nichts geht mehr, man kennt das ja von Mallorca. Solche Attacken sind oft Drohmittel bei Erpressungsversuchen gegenüber Firmen, werden aber auch unter der Hand meistbietend verkauft, wenn jemand der Konkurrenz schaden will. In den letzten Jahren sind diese Angriffe auch als politischer Protest erfolgt, z.B. gegen Firmen oder staatliche Einrichtungen.
Mancher bemerkt die Teilnahme am Bot-Netz auch erst, wenn die Strafverfolgungsbehörden vor der Tür stehen. Das kann z.B. passieren, wenn illegale Inhalte (wie beim Filesharing) über den befallenen Rechner verteilt werden oder der Rechner vom Bot-Master als Proxy (also Weiterleitung) genutzt wird. Er surft dann sozusagen unter falscher Flagge über den ferngesteuerten Rechner. Was auch immer der Angreifer im Netz veranstaltet – sichtbar ist zuerst nur die IP-Adresse des befallenen Computers. Ermitteln dann die Behörden nicht sauber weiter (oder kennen sich schlicht zu wenig in dem Bereich aus), kann der Besitzer des Rechners, obwohl unschuldig, enorme Probleme bekommen.
Eher harmlos im Vergleich (aber sehr lukrativ) ist sogenannter Klickbetrug. Es gibt Onlinedienstleister, die ihren Kunden Geld dafür zahlen, auf Banner zu klicken, Seiten zu besuchen oder Besucher zu vermitteln. Wenn der Bot-Master seine Armee losschickt, um zu Tausenden diese Seiten zu besuchen oder Skripte auszuführen oder um immer wieder Banner anzuklicken, kommt ein hübsches Sümmchen zusammen. Verfügt man über ein gigantisches Bot-Netzwerk, wie es z.B. „Mariposa“ mit über 13 Millionen infizierter Rechner war, kann man sogar über diesen vergleichsweise harmlosen Betrug Millionen scheffeln.
Und da man mit dieser Infrastruktur auch jede herkömmliche Internet-Kriminalität betrieben kann, gibt es noch die üblichen Verdächtigen: Sniffer bzw. Password-Grabber spionieren die persönlichen Daten und Passwörter aus. Kreditkartennummer, Eingaben in Einkaufsportale, nichts bleibt hier verborgen. Aber auch die neue Pest, Ransomware, kann eingeschleust werden. Der Rechner wird verschlüsselt, der Zugriff verhindert und nur gegen Zahlung wieder freigeschaltet – wenn überhaupt.
Wurde der Rechner bereits infiziert, ist guter Rat teuer. Es gibt zwar Tools, die diese Schadsoftware entfernen, jedoch sind die Infektionen oftmals enorm komplex, variantenreich und tief im System vergraben. Ob ich persönlich danach meinem Rechner wieder über den Weg trauen würde – fraglich. Besser sind Backups, die einen älteren, aber sauberen Stand zurückspielen können. Und noch besser ist mal wieder das Sicherheits-Zentrum zwischen den Ohren des Nutzers, damit dies gar nicht erst passiert. Nichts aus unbekannten Quellen installieren, kein unbedachtes Klicken auf dubiosen Seiten, Mail-Anhänge höchst kritisch betrachten und Raubkopien meiden. Wenn dazu noch das System aktuell gehalten wird und eine brauchbare AV-Lösung installiert ist, sollten Sie sicher sein.Der Verband der Internetwirtschaft e.V. hat zu diesem Thema eine interessante Seite eingerichtet, die sich umfassender mit diesem Thema auseinandersetzt, als es ein wöchentlicher Blog vermag. Wenn Sie das Thema interessiert, werfen Sie doch einen Blick hinein!