Botnet - Botnet

Stacheldraht- Botnetzdiagramm, das einen DDoS-Angriff zeigt. (Beachten Sie, dass dies auch ein Beispiel für eine Art Client-Server-Modell eines Botnetzes ist.)

Teil einer Serie über
Informationssicherheit
Verwandte Sicherheitskategorien
Computersicherheit Fahrzeugsicherheit Cyberkriminalität Cybersex-Handel Computerbetrug Cybergeddon Cyber ​​Terrorismus Cyber-Krieg Elektronische Kriegsführung Informationskrieg Internet sicherheit Mobile Sicherheit Netzwerksicherheit Kopierschutz Management von Digitalen Rechten
Bedrohungen
Adware Erweiterte anhaltende Bedrohung Ausführung von beliebigem Code Hintertüren Hardware-Hintertüren Codeinjektion Crimeware Cross-Site-Scripting Cryptojacking-Malware Botnetze Datenleck Drive-by-Download Browser-Hilfsobjekte Computerkriminalität Viren Daten-Scraping Denial of Service Lauschen E-Mail-Betrug E-Mail-Spoofing Ausbeutung Keylogger Logikbomben Zeitbomben Gabelbomben Zip-Bomben Betrügerische Dialer Malware Nutzlast Phishing Polymorphe Engine Privilegieneskalation Ransomware Rootkits Bootkits Scareware Shellcode Spamming Social Engineering (Sicherheit) Siebscraping Spyware Softwarefehler trojanische Pferde Hardware-Trojaner Trojaner für den Fernzugriff Verletzlichkeit Web-Shells Wischer Würmer SQL-Injektion Rogue-Sicherheitssoftware Zombie
Verteidigungen
Anwendungssicherheit Sichere Codierung Standardmäßig sicher Sicher durch Design Missbrauchsfall Computerzugriffskontrolle Authentifizierung Multi-Faktor-Authentifizierung Genehmigung Computersicherheitssoftware Antiviren Software Sicherheitsorientiertes Betriebssystem Datenzentrierte Sicherheit Code-Verschleierung Datenmaskierung Verschlüsselung Firewall Einbruchmeldesystem Hostbasiertes Intrusion Detection System (HIDS) Anomalieerkennung Sicherheitsinformations- und Ereignismanagement (SIEM) Mobiles sicheres Gateway Selbstschutz der Laufzeitanwendung
v T e

Ein Botnet ist eine Reihe von mit dem Internet verbundenen Geräten, auf denen jeweils ein oder mehrere Bots ausgeführt werden . Botnets können verwendet werden, um Distributed Denial-of-Service (DDoS) -Angriffe durchzuführen, Daten zu stehlen, Spam zu versenden und dem Angreifer den Zugriff auf das Gerät und seine Verbindung zu ermöglichen. Der Besitzer kann das Botnet mithilfe von Command and Control (C&C)-Software steuern. Das Wort „Botnet“ ist eine Kombination aus den Wörtern „ Roboter “ und „ Netzwerk “. Der Begriff wird normalerweise mit einer negativen oder bösartigen Konnotation verwendet.

Überblick

Ein Botnet ist eine logische Ansammlung von mit dem Internet verbundenen Geräten wie Computern, Smartphones oder Internet of Things (IoT)-Geräten, deren Sicherheit verletzt wurde und deren Kontrolle an Dritte abgetreten wurde. Jedes kompromittierte Gerät, bekannt als "Bot", wird erstellt, wenn ein Gerät von Software einer Malware- Distribution (bösartiger Software) durchdrungen wird . Der Controller eines Botnets ist in der Lage, die Aktivitäten dieser kompromittierten Computer über Kommunikationskanäle zu lenken, die von standardbasierten Netzwerkprotokollen wie IRC und Hypertext Transfer Protocol (HTTP) gebildet werden.

Botnets werden zunehmend von Cyberkriminellen als Handelsware für verschiedene Zwecke vermietet .

Die Architektur

Die Botnet-Architektur hat sich im Laufe der Zeit weiterentwickelt, um Erkennung und Unterbrechung zu vermeiden. Traditionell sind Bot-Programme als Clients aufgebaut, die über bestehende Server kommunizieren. Dadurch kann der Bot-Herder (der Controller des Botnetzes) die gesamte Kontrolle von einem entfernten Standort aus durchführen, wodurch der Datenverkehr verschleiert wird. Viele neuere Botnets verlassen sich zur Kommunikation jetzt auf bestehende Peer-to-Peer-Netzwerke . Diese P2P-Bot-Programme führen dieselben Aktionen wie das Client-Server-Modell aus, benötigen jedoch keinen zentralen Server für die Kommunikation.

Client-Server-Modell

Ein auf dem Client-Server-Modell basierendes Netzwerk , bei dem einzelne Clients Dienste und Ressourcen von zentralisierten Servern anfordern

Die ersten Botnetze im Internet nutzten ein Client-Server-Modell, um ihre Aufgaben zu erfüllen. In der Regel werden diese Botnets über Internet Relay Chat- Netzwerke, Domänen oder Websites betrieben . Infizierte Clients greifen auf einen vorbestimmten Ort zu und warten auf eingehende Befehle vom Server. Der Bot-Herder sendet Befehle an den Server, der sie an die Clients weiterleitet. Clients führen die Befehle aus und melden ihre Ergebnisse an den Bot-Herder.

Im Fall von IRC-Botnets verbinden sich infizierte Clients mit einem infizierten IRC-Server und treten einem Kanal bei, der vom Bot-Herder für C&C vorbezeichnet wurde. Der Bot-Herder sendet über den IRC-Server Befehle an den Kanal. Jeder Client ruft die Befehle ab und führt sie aus. Clients senden Nachrichten mit den Ergebnissen ihrer Aktionen an den IRC-Kanal zurück.

Peer-To-Peer

Ein Peer-to-Peer (P2P)-Netzwerk, in dem miteinander verbundene Knoten ("Peers") Ressourcen untereinander ohne die Verwendung eines zentralisierten Verwaltungssystems teilen

Als Reaktion auf die Bemühungen, IRC-Botnetze zu erkennen und zu enthaupten, haben Bot-Herder damit begonnen, Malware in Peer-to-Peer- Netzwerken bereitzustellen. Diese Bots verwenden möglicherweise digitale Signaturen, sodass nur jemand mit Zugriff auf den privaten Schlüssel das Botnetz kontrollieren kann. Siehe zB Gameover ZeuS und ZeroAccess Botnet .

Neuere Botnets arbeiten vollständig über P2P-Netzwerke. Anstatt mit einem zentralisierten Server zu kommunizieren, fungieren P2P-Bots sowohl als Befehlsverteilungsserver als auch als Client, der Befehle empfängt. Dadurch wird ein Single Point of Failure vermieden, der bei zentralisierten Botnets ein Problem darstellt.

Um andere infizierte Computer zu finden, prüft der Bot diskret zufällige IP-Adressen, bis er einen anderen infizierten Computer kontaktiert. Der kontaktierte Bot antwortet mit Informationen wie seiner Softwareversion und einer Liste bekannter Bots. Wenn einer der Bots eine niedrigere Version als der andere hat, wird eine Dateiübertragung zum Update eingeleitet. Auf diese Weise erweitert jeder Bot seine Liste infizierter Maschinen und aktualisiert sich selbst, indem er regelmäßig mit allen bekannten Bots kommuniziert.

Kernkomponenten

Der Urheber eines Botnetzes (bekannt als „ Bot Herder “ oder „Bot Master“) kontrolliert das Botnetz aus der Ferne. Dies wird als Command-and-Control (C&C) bezeichnet. Das Programm für die Operation muss über einen verdeckten Kanal mit dem Client auf der Maschine des Opfers (Zombie-Computer) kommunizieren .

Kontrollprotokolle

IRC ist aufgrund seines Kommunikationsprotokolls ein historisch bevorzugtes Mittel von C&C . Ein Bot-Herder erstellt einen IRC-Kanal, damit infizierte Clients beitreten können. An den Kanal gesendete Nachrichten werden an alle Kanalmitglieder gesendet. Der Bot-Herder kann das Thema des Kanals festlegen, um das Botnet zu befehligen. Die Nachricht :herder!herder@example.com TOPIC #channel DDoS www.victim.comdes Bot-Herders warnt beispielsweise alle infizierten Clients, die zu #channel gehören, einen DDoS-Angriff auf die Website www.victim.com zu starten. Eine Beispielantwort :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.comeines Bot-Clients weist den Bot-Herder darauf hin, dass er mit dem Angriff begonnen hat.

Einige Botnets implementieren benutzerdefinierte Versionen bekannter Protokolle. Die Implementierungsunterschiede können zur Erkennung von Botnets genutzt werden. Zum Beispiel Mega-D verfügt über eine leicht modifizierte Simple Mail Transfer Protocol (SMTP) Implementierung für die Prüfung Spam - Fähigkeit. Das Herunterfahren des SMTP-Servers des Mega-D deaktiviert den gesamten Pool von Bots, die sich auf denselben SMTP-Server verlassen.

Zombie-Computer

In der Informatik ist ein Zombie-Computer ein mit dem Internet verbundener Computer, der von einem Hacker , einem Computervirus oder einem Trojaner kompromittiert wurde und verwendet werden kann, um böswillige Aufgaben aus der Ferne auszuführen. Botnets von Zombie-Computern werden häufig verwendet, um E-Mail-Spam zu verbreiten und Denial-of-Service-Angriffe (DDoS) zu starten . Die meisten Besitzer von Zombie-Computern wissen nicht, dass ihr System auf diese Weise verwendet wird. Da der Besitzer dazu neigt, es nicht zu bemerken, werden diese Computer metaphorisch mit Zombies verglichen . Auch ein koordinierter DDoS-Angriff mehrerer Botnet-Rechner ähnelt einem Angriff einer Zombiehorde.

Der Prozess des Stehlens von Rechenressourcen als Ergebnis der Verbindung eines Systems mit einem "Botnet" wird manchmal als "Scrumping" bezeichnet.

Steuerung und Kontrolle

Botnet Command and Control (C&C)-Protokolle wurden auf verschiedene Weise implementiert, von traditionellen IRC-Ansätzen bis hin zu komplexeren Versionen.

Telnet

Telnet- Botnets verwenden ein einfaches C&C-Botnet-Protokoll, bei dem sich Bots mit dem Hauptbefehlsserver verbinden, um das Botnet zu hosten. Bots werden dem Botnet mithilfe eines Scan- Skripts hinzugefügt , das auf einem externen Server ausgeführt wird und IP-Bereiche auf Telnet- und SSH- Server-Standardanmeldungen durchsucht . Sobald ein Login gefunden wurde, kann der Scanserver diesen über SSH mit Malware infizieren, die den Kontrollserver anpingt.

IRC

IRC-Netzwerke verwenden einfache Kommunikationsmethoden mit geringer Bandbreite, wodurch sie häufig zum Hosten von Botnets verwendet werden. Sie sind in der Regel relativ einfach aufgebaut und wurden mit mäßigem Erfolg zur Koordination von DDoS-Angriffen und Spam-Kampagnen eingesetzt, während sie in der Lage sind, kontinuierlich die Kanäle zu wechseln, um eine Abschaltung zu vermeiden. In einigen Fällen hat sich jedoch das bloße Blockieren bestimmter Schlüsselwörter als effektiv erwiesen, um IRC-basierte Botnets zu stoppen. Der Standard RFC 1459 ( IRC ) ist bei Botnets beliebt. Das erste bekannte populäre Botnet-Controller-Skript, "MaXiTE Bot", verwendet das IRC-XDCC-Protokoll für private Steuerbefehle.

Ein Problem bei der Verwendung von IRC besteht darin, dass jeder Bot-Client den IRC-Server, -Port und -Kanal kennen muss, um für das Botnet von Nutzen zu sein. Anti-Malware-Organisationen können diese Server und Kanäle erkennen und herunterfahren und so den Botnet-Angriff effektiv stoppen. Wenn dies passiert, sind die Clients immer noch infiziert, aber sie liegen normalerweise inaktiv, da sie keine Möglichkeit haben, Anweisungen zu erhalten. Um dieses Problem zu mildern, kann ein Botnet aus mehreren Servern oder Kanälen bestehen. Wenn einer der Server oder Kanäle deaktiviert wird, wechselt das Botnet einfach zu einem anderen. Es ist weiterhin möglich, zusätzliche Botnet-Server oder -Kanäle durch das Sniffen des IRC-Datenverkehrs zu erkennen und zu stören. Ein Botnet-Gegner kann sogar potenziell Kenntnisse über das Kontrollschema erlangen und den Bot-Herder nachahmen, indem er Befehle korrekt ausgibt.

P2P

Da die meisten Botnets, die IRC-Netzwerke und -Domänen verwenden, mit der Zeit abgeschaltet werden können, sind Hacker zu P2P-Botnets mit C&C übergegangen, um das Botnet widerstandsfähiger und widerstandsfähiger gegen Terminierung zu machen.

Einige haben Verschlüsselung auch verwendet , um das Botnet zu schützen oder vor anderen zu sperren. Wenn sie Verschlüsselung verwenden, handelt es sich meistens um eine Kryptographie mit öffentlichem Schlüssel, die sowohl bei der Implementierung als auch beim Brechen Herausforderungen mit sich bringt.

Domänen

Viele große Botnets neigen dazu, Domains anstelle von IRC zu verwenden (siehe Rustock-Botnet und Srizbi-Botnet ). Sie werden normalerweise mit kugelsicheren Hosting- Diensten gehostet . Dies ist eine der frühesten Arten von C&C. Ein Zombie-Computer greift auf eine speziell gestaltete Webseite oder Domäne(n) zu, die die Liste der Steuerbefehle bereitstellt. Der Vorteil der Verwendung von Webseiten oder Domains als C&C besteht darin, dass ein großes Botnet mit sehr einfachem Code, der leicht aktualisiert werden kann, effektiv gesteuert und gewartet werden kann.

Der Nachteil dieser Methode besteht darin, dass sie in großem Umfang eine beträchtliche Menge an Bandbreite benötigt und Domänen mit geringem Aufwand schnell von Regierungsbehörden beschlagnahmt werden können. Wenn die Domänen, die die Botnetze kontrollieren, nicht beschlagnahmt werden, können sie auch leicht durch Denial-of-Service-Angriffe kompromittiert werden .

Fast-Flux-DNS kann verwendet werden, um das Auffinden der Kontrollserver zu erschweren, die sich von Tag zu Tag ändern können. Kontrollserver können auch von DNS-Domäne zu DNS-Domäne springen, wobei Domänengenerierungsalgorithmen verwendet werden, um neue DNS-Namen für Controllerserver zu erstellen.

Einige Botnets verwenden kostenlose DNS- Hosting-Dienste wie DynDns.org , No-IP.com und Afraid.org, um eine Subdomain auf einen IRC-Server zu verweisen , der die Bots beherbergt. Obwohl diese kostenlosen DNS-Dienste selbst keine Angriffe hosten, bieten sie Referenzpunkte (oft fest in die ausführbare Botnet-Datei einprogrammiert). Das Entfernen solcher Dienste kann ein ganzes Botnet lahmlegen.

Andere

Der Rückruf auf große Social-Media-Sites wie GitHub , Twitter , Reddit , Instagram , das Open-Source-Instant-Message-Protokoll XMPP und die versteckten Dienste von Tor sind beliebte Methoden, um die Filterung von ausgehendem Datenverkehr zu vermeiden , um mit einem C&C-Server zu kommunizieren.

Konstruktion

Traditionell

Dieses Beispiel veranschaulicht, wie ein Botnet erstellt und für böswillige Zwecke verwendet wird.

1. Ein Hacker kauft oder erstellt einen Trojaner und/oder ein Exploit-Kit und verwendet es, um die Computer von Benutzern zu infizieren, deren Nutzlast eine bösartige Anwendung ist – der Bot .
2. Der Bot weist den infizierten PC an, sich mit einem bestimmten Command-and-Control-Server (C&C) zu verbinden. (Dadurch kann der Botmaster protokollieren, wie viele Bots aktiv und online sind.)
3. Der Botmaster kann dann die Bots verwenden, um Tastenanschläge zu sammeln oder Formgrabbing zum Stehlen von Online-Zugangsdaten zu verwenden, und kann das Botnet als DDoS und/oder Spam als Service vermieten oder die Zugangsdaten online gewinnbringend verkaufen.
4. Je nach Qualität und Leistungsfähigkeit der Bots wird der Wert erhöht oder verringert.

Neuere Bots können ihre Umgebung automatisch scannen und sich mithilfe von Schwachstellen und schwachen Passwörtern verbreiten. Generell gilt: Je mehr Schwachstellen ein Bot scannen und durchdringen kann, desto wertvoller wird er für eine Botnet-Controller-Community.

Computer können in ein Botnetz eingebunden werden, wenn sie Schadsoftware ausführen. Dies kann erreicht werden, indem Benutzer dazu verleitet werden, einen Drive-by-Download durchzuführen, Schwachstellen im Webbrowser auszunutzen oder den Benutzer dazu zu verleiten, ein Trojaner- Programm auszuführen , das aus einem E-Mail-Anhang stammen kann. Diese Malware installiert normalerweise Module, mit denen der Computer vom Betreiber des Botnetzes gesteuert und kontrolliert werden kann. Nachdem die Software heruntergeladen wurde, ruft sie nach Hause (sendet ein Paket zur Wiederverbindung ) an den Host-Computer. Beim erneuten Verbinden kann sich ein Trojaner dann je nach Schreibweise selbst löschen oder präsent bleiben, um die Module zu aktualisieren und zu warten.

Andere

In einigen Fällen kann ein Botnet vorübergehend von freiwilligen Hacktivisten erstellt werden , wie beispielsweise bei Implementierungen der Low Orbit Ion Cannon, wie sie von 4chan- Mitgliedern während des Project Chanology im Jahr 2010 verwendet wurde.

Chinas Great Cannon of China ermöglicht die Modifikation des legitimen Webbrowser-Verkehrs an Internet-Backbones nach China, um ein großes kurzlebiges Botnet zu schaffen, um große Ziele wie GitHub im Jahr 2015 anzugreifen .

Gemeinsamkeiten

• Die meisten Botnets bieten derzeit verteilte Denial-of-Service-Angriffe, bei denen mehrere Systeme so viele Anfragen wie möglich an einen einzelnen Internet-Computer oder -Dienst senden, ihn überlasten und daran hindern, legitime Anfragen zu bearbeiten. Ein Beispiel ist ein Angriff auf den Server eines Opfers. Der Server des Opfers wird von den Bots mit Anfragen bombardiert, die versuchen, sich mit dem Server zu verbinden und ihn daher überlasten.
• Spyware ist Software, die Informationen über die Aktivitäten eines Benutzers an ihre Ersteller sendet – typischerweise Passwörter, Kreditkartennummern und andere Informationen, die auf dem Schwarzmarkt verkauft werden können. Kompromittierte Maschinen, die sich innerhalb eines Unternehmensnetzwerks befinden, können für den Bot-Herder mehr wert sein, da sie oft Zugriff auf vertrauliche Unternehmensinformationen erhalten. Mehrere gezielte Angriffe auf große Unternehmen zielten darauf ab, sensible Informationen wie das Aurora-Botnet zu stehlen.
• E-Mail-Spam sind E-Mail-Nachrichten, die als Nachrichten von Personen getarnt sind, aber entweder Werbung, lästig oder bösartig sind.
• Klickbetrug tritt auf, wenn der Computer des Benutzers Websites besucht, ohne dass der Benutzer es bemerkt, um falschen Webverkehr zum persönlichen oder kommerziellen Vorteil zu erzeugen.
• Ad Betrug ist oft eine Folge von bösartiger Bot - Aktivität nach CHEQ, Ad - Betrug 2019 die wirtschaftlich Kosten von Bad Actor im Internet. Zu den kommerziellen Zwecken von Bots gehören Influencer, die sie verwenden, um ihre vermeintliche Popularität zu steigern, und Online-Publisher, die Bots verwenden, um die Anzahl der Klicks auf eine Anzeige zu erhöhen, wodurch Websites mehr Provisionen von Werbetreibenden erhalten.
• Bitcoin- Mining wurde in einigen der neueren Botnets verwendet, die Bitcoin-Mining als Feature enthalten, um Gewinne für den Betreiber des Botnetzes zu erzielen.
• Die sich selbst ausbreitende Funktionalität, um nach vorkonfigurierten Command-and-Control (CNC) Push-Befehlen zu suchen, enthält gezielte Geräte oder Netzwerke, um auf mehr Infektionen zu zielen, wird auch in mehreren Botnets entdeckt. Einige Botnets nutzen diese Funktion, um ihre Infektionen zu automatisieren.

Markt

Die Botnet-Controller-Community kämpft ständig darum, wer die meisten Bots, die höchste Gesamtbandbreite und die "hochwertigsten" infizierten Maschinen hat, wie Universitäts-, Unternehmens- und sogar Regierungsmaschinen.

Obwohl Botnets oft nach der Malware benannt werden, die sie erstellt hat, verwenden mehrere Botnets normalerweise dieselbe Malware, werden jedoch von verschiedenen Entitäten betrieben.

Phishing

Botnets können für viele elektronische Betrügereien verwendet werden. Diese Botnets können verwendet werden, um Malware wie Viren zu verbreiten, um die Kontrolle über den Computer/die Software eines normalen Benutzers zu übernehmen. Dies wird als Phishing bezeichnet . Phishing ist der Erwerb von Zugangsdaten zu den Konten des "Opfers" mit einem Link, auf den das "Opfer" klickt und der per E-Mail oder SMS gesendet wird. Eine Umfrage von Verizon ergab, dass etwa zwei Drittel der elektronischen „Spionage“-Fälle auf Phishing zurückzuführen sind.

Gegenmaßnahmen

Die geografische Verteilung von Botnets bedeutet, dass jeder Rekrut einzeln identifiziert/eingebunden/repariert werden muss, und schränkt die Vorteile der Filterung ein .

Computersicherheitsexperten haben es geschafft, Malware-Befehls- und Kontrollnetzwerke zu zerstören oder zu unterlaufen, indem sie unter anderem Server beschlagnahmen oder vom Internet abschneiden, den Zugriff auf Domänen verweigern, die von Malware verwendet werden sollten, um ihre C&C-Infrastruktur zu kontaktieren, und in einigen Fällen das C&C-Netzwerk selbst einbrechen. Als Reaktion darauf haben C&C-Betreiber auf Techniken zurückgegriffen, wie die Überlagerung ihrer C&C-Netzwerke auf andere bestehende gutartige Infrastrukturen wie IRC oder Tor , die Verwendung von Peer-to-Peer-Netzwerksystemen , die nicht von festen Servern abhängig sind, und die Verwendung von öffentlichen Schlüsseln Verschlüsselung , um Versuche zu verhindern, in das Netzwerk einzudringen oder das Netzwerk zu fälschen.

Norton AntiBot richtete sich an Verbraucher, aber die meisten zielen auf Unternehmen und/oder ISPs ab. Hostbasierte Techniken verwenden Heuristiken, um Bot-Verhalten zu erkennen, das herkömmliche Antivirensoftware umgangen hat . Netzwerkbasierte Ansätze verwenden in der Regel die oben beschriebenen Techniken; Herunterfahren von C&C-Servern, Null-Routing von DNS-Einträgen oder vollständiges Herunterfahren von IRC-Servern. BotHunter ist eine Software, die mit Unterstützung des US Army Research Office entwickelt wurde und die Botnet-Aktivitäten innerhalb eines Netzwerks erkennt, indem sie den Netzwerkverkehr analysiert und ihn mit Mustern vergleicht, die für bösartige Prozesse charakteristisch sind.

Forscher der Sandia National Laboratories analysieren das Verhalten von Botnets, indem sie gleichzeitig eine Million Linux-Kernel – eine ähnliche Größenordnung wie ein Botnet – als virtuelle Maschinen auf einem 4.480-Knoten-Hochleistungs- Computercluster ausführen , um ein sehr großes Netzwerk zu emulieren, damit sie sehen können, wie es geht Botnets arbeiten und experimentieren mit Möglichkeiten, sie zu stoppen.

Die Erkennung automatisierter Bot-Angriffe wird jeden Tag schwieriger, da Angreifer immer neue und ausgefeiltere Generationen von Bots starten. Ein automatisierter Angriff kann beispielsweise eine große Bot-Armee einsetzen und Brute-Force-Methoden mit hochpräzisen Benutzernamen- und Passwortlisten anwenden, um sich in Konten zu hacken. Die Idee ist, Websites mit Zehntausenden von Anfragen von verschiedenen IPs auf der ganzen Welt zu überhäufen, wobei jeder Bot jedoch nur alle 10 Minuten eine einzige Anfrage sendet, was zu mehr als 5 Millionen Versuchen pro Tag führen kann. In diesen Fällen versuchen viele Tools, die volumetrische Erkennung zu nutzen, aber automatisierte Bot-Angriffe haben jetzt Möglichkeiten, Auslöser der volumetrischen Erkennung zu umgehen.

Eine der Techniken zur Erkennung dieser Bot-Angriffe sind sogenannte "signaturbasierte Systeme", bei denen die Software versucht, Muster im Anforderungspaket zu erkennen. Aber Angriffe entwickeln sich ständig weiter, sodass dies möglicherweise keine praktikable Option ist, wenn Muster aus Tausenden von Anfragen nicht erkannt werden können. Es gibt auch den verhaltensorientierten Ansatz zur Abwehr von Bots, der letztendlich versucht, Bots von Menschen zu unterscheiden. Durch die Identifizierung von nicht-menschlichem Verhalten und das Erkennen von bekanntem Bot-Verhalten kann dieser Prozess auf Benutzer-, Browser- und Netzwerkebene angewendet werden.

Die effektivste Methode zur Bekämpfung eines Virus mit Software war die Verwendung von Honeypot- Software, um die Malware davon zu überzeugen, dass ein System anfällig ist. Die schädlichen Dateien werden dann mit forensischer Software analysiert.

Am 15. Juli 2014 hielt der Unterausschuss für Kriminalität und Terrorismus des Justizausschusses des US-Senats eine Anhörung zu den Bedrohungen durch Botnets und den öffentlichen und privaten Bemühungen zu ihrer Störung und Beseitigung ab.

Nicht böswillige Verwendung

Nicht-bösartige Botnets werden häufig in Minecraft nach Samen mit bestimmten Funktionen wie dem Titelbildschirm und dem Standardbild für das Texturpaket gefunden. Diese Botnets sind freiwillig und ermöglichen jedem Benutzer, seinen Computer in das Botnet "einzuschreiben" und ihn später wieder herauszunehmen, wenn er ihn nicht mehr im Botnet haben möchte.

Historische Liste der Botnetze

Das erste Botnet wurde 2001 erstmals von EarthLink während eines Rechtsstreits mit dem berüchtigten Spammer Khan C. Smith erkannt und aufgedeckt . Das Botnet wurde für Massen-Spam gebaut und machte damals fast 25 % des gesamten Spams aus.

Um 2006 herum wurden einige Botnets verkleinert, um die Erkennung zu vereiteln.

• Forscher der University of California in Santa Barbara übernahmen die Kontrolle über ein Botnet, das sechsmal kleiner war als erwartet. In einigen Ländern ist es üblich, dass Benutzer ihre IP-Adresse mehrmals an einem Tag ändern. Die Schätzung der Größe des Botnetzes anhand der Anzahl der IP-Adressen wird von Forschern häufig verwendet, was möglicherweise zu ungenauen Einschätzungen führt.

Siehe auch

• Computerwurm
• Spambot
• Zeitleiste von Computerviren und -würmern
• Advanced Persistent Threat

Verweise

Externe Links

• The Honeynet Project & Research Alliance – „Know your Enemy: Tracking Botnets“
• Die Shadowserver Foundation – eine rein ehrenamtliche Sicherheitsüberwachungsgruppe, die Malware, Botnet-Aktivitäten und elektronischen Betrug sammelt, verfolgt und meldet.
• EWeek.com – „Ist die Botnet-Schlacht schon verloren?“
• Botnet Büste – „SpyEye Malware Mastermind bekennt sich schuldig“ , FBI