Botnet – Wikipedia. Ablauf der Entstehung und Verwendung von Botnetzen: (1) Infizierung ungeschützter Computer, (2) Eingliederung in das Botnet, (3) Botnetbetreiber verkauft Dienste des Botnets, (4) Ausnutzung des Botnets, etwa für den Versand von Spam. Ein Botnet oder Botnetz ist eine Gruppe automatisierter Schadprogramme, sogenannter Bots. Die Bots (von englisch: robot „Roboter“) laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen, ohne Einverständnis des Eigentümers, zur Verfügung stehen. In Deutschland gab es 2. Bots, von denen im Durchschnitt etwa 2. Tag aktiv waren.[1] Die Initiative botfrei. Verbandes der Internetwirtschaft. ECO stellte 2. 01. Computern 9. 2. 0. Systeme mit rund 7. No-registration upload of files up to 250MB. Not available in some countries. Die Artikel Bot, Zombie (Internet) und Botnet überschneiden sich thematisch. Hilf mit, die Artikel besser voneinander abzugrenzen oder zusammenzuführen (→ Anleitung).
Dateien fest, woraus sich eine Infektion von ca. Prozent aller Computer in Deutschland errechnet.[2] Laut Bericht zur Lage der IT- Sicherheit in Deutschland 2. Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden im ersten Halbjahr 2. Deutschland täglich bis zu 6. Systeme neu infiziert.[3] Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz- Operator (auch Bot- Master oder Bot- Herder genannt) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache als Command- and- Control- Server bezeichnet; Kurzform: C& C- Server. Ein Bot stellt dem Betreiber eines Botnetzes je nach Funktionsumfang verschiedene Dienste zur Verfügung. Derweil mehren sich multifunktional einsetzbare Botnets. Der Botmaster kann so flexibel auf andere Einsatzmöglichkeiten umschwenken. Grundsätzlich lassen sich die Verwendungsmöglichkeiten eines Bot- Netzwerks wie folgt unterscheiden: Nachladen und Ausführen weiterer Programme beziehungsweise Aktualisierung des Bots. Angriffe zum Nachteil eines externen Opfersystems. Proxy. Proxys bieten die Möglichkeit, eine Verbindung zu einem dritten Computer über den Zombie herzustellen, und können damit die eigentliche Ursprungs- Adresse verbergen. Der so geschaffene Zwischen- Host kann dann für weitere Angriffe auf andere Rechner genutzt werden. Aus Sicht des Ziel- Computers kommt der Angriff vom Proxy- Host. Versand von Spam- Mails, insbesondere Phishing- Mails. Einige Bots sind auf das Versenden von großen Mengen an E- Mail programmiert. Sie bieten Funktionen zum Laden von Mail- Templates, Senden von E- Mails an generierte oder von einem Server abgefragte Adressen und Abfragen von Listings der Zombie- IP in DNSBLs. Ausführen von DDo. S- Attacken und DRDo. S- Attacken. Viele Bots können Do. S- Attacken ausführen. Meistens stehen dabei verschiedene Methoden wie SYN- Flood oder HTTP- Request- Flood zur Verfügung. Werden diese Attacken von allen Bots im Netz mit der gesamten ihnen zur Verfügung stehenden Netzwerk- Bandbreite gleichzeitig ausgeführt, so werden auf dem Ziel- Rechner der Attacke Netzwerk- Dienste außer Betrieb gesetzt oder die gesamte Bandbreite seiner Anbindung für Daten von den Zombies benötigt. Ausführen von Klickbetrug. Eine weitere Möglichkeit, ein betriebsbereites Botnetz zum finanziellen Vorteil zu nutzen, wird Klickbetrug genannt. Hierzu nutzt der Betrüger ein Konto bei einem Onlinedienstleister, der seine Werbepartner für Klicks auf Werbebanner oder die Vermittlung von Besuchern vergütet. Der Betrüger nutzt die Bots dazu, die Banner anzuklicken oder die vergütete Website zu besuchen. Dies geschieht mit den rechnerspezifischen Informationen wie Betriebssystem, Browser und IP- Adresse der gekaperten Rechner und ist somit für den Werbeportalbetreiber nicht als Betrug zu erkennen. Botnetz- interne Angriffe. Zugriff auf lokal gespeicherte Daten durch Einsatz von Sniffern und Password- Grabbern. Die privaten Daten der mit Bots infizierten Rechner (Zombies) sind lukrativ. Die meisten Bots bieten Möglichkeiten, auf lokal gespeicherte Zugangsdaten verschiedener Anwendungen (beispielsweise IE oder ICQ) zuzugreifen. Auf den Diebstahl von Daten spezialisierte Bots bieten auch Funktionen, um Daten aus Webformularen zu lesen, und können dadurch Informationen ausspionieren, die in SSL- gesicherten Webseiten eingegeben wurden, darunter beispielsweise auch Passwörter oder Kreditkartennummern. Viele IRC- Bots können den Netzwerkverkehr des Rechners protokollieren. Einsatz als Ransomware. Speichermedium für die Verbreitung illegaler Inhalte (z. B. Filesharing von geschütztem Material)Nutzung der Rechenleistung (z. B. Bitcoin- Mining)Bot- Nets liefern eine hervorragende Infrastruktur für die herkömmliche Internetkriminalität. Dies begründet auch ihr rasantes Wachstum. Die weitaus meisten Bots bieten eine Kommunikationsmöglichkeit mit dem Betreiber des Botnetzes, wobei auch sogenannte Command- and- Control- Server (aus englisch‚command and control server‘; kurz C& C- Server) eingesetzt werden.[4] Dies umfasst den Abruf von Daten von einem Bot sowie das Verteilen von neuen Anweisungen. IRC wurde in den 1. Internet- Chat- Lösung. Legitime und nützliche Bots, wie zum Beispiel Eggdrop, wurden entwickelt, um den Anwender bei der IRC- und Kommunikationsverwaltung zu helfen. Diese einfache Technik ist dann zur ersten C& C- Strategie geworden. Bei der Kommunikation über einen IRC- Channel stellen die Bots eine Client- Verbindung zu einem IRC- Server her. Befehle werden ohne Verzögerung von den Bots ausgeführt, und der Betreiber erhält sofort eine Rückmeldung der Bots. Ein IRC- C& C- Server ist für einen Bot- Operator sehr einfach zu erstellen und zu verwalten. Ist ein Computer infiziert, versucht der Zombie, sich zu dem IRC- Server und Channel zu verbinden. Wenn die Verbindung erfolgreich war, so kann der Bot- Operator den Bot steuern. Dies kann individuell über private Nachrichten oder global an alle Zombies innerhalb des Channels erfolgen. Um dies effizienter zu gestalten, erstellen einige Bot- Operator ein „Thema“ für den Channel, das ein Kommando für die Bots darstellt, wie zum Beispiel Aktualisierungen oder eine DDo. S- Attacke durchzuführen. Vorteile der IRC- Technik: Es ist interaktiv: Obwohl es ein relativ einfaches Protokoll ist, ist IRC interaktiv und erlaubt eine Vollduplex- Kommunikation zwischen Client und Server. Einen IRC- Server zu erstellen ist einfach. Außerdem gibt es sehr viele bestehende Server, die man, wenn notwendig, benutzen kann. Es ist möglich, mehrere Botnetze unter Verwendung von einem Server zu erstellen und zu steuern. Funktionalitäten wie Nicknames, Chat Channels, Passwort- geschützte Channels etc. Es ist einfach, Redundanz aufzubauen, indem man mehrere Server miteinander verbindet. Gefolgt von dem Einsatz von privaten Servern und Passwörtern wurden C& C- Techniken immer weiter verbessert. Die erste Technik benutzt mehrere miteinander verbundene IRC- Server, die die gewöhnliche IRC- Technik verwenden. IRC ist in einer Art und Weise konzipiert, dass mehrere Server miteinander verbunden werden können, um ein Netzwerk von Servern zu bilden. Bei der Verwendung dieser Technik werden die Adressen aller Server in den Bot fest eingetragen. Dieser versucht sich dann mit jeder dieser eingetragenen Adressen zu verbinden. Ist eine Verbindung zwischen Server und Client hergestellt, dann meldet sich der Bot an dem Channel an, in dem der Bot- Operator Anweisungen gibt. Für Botnetzjäger wird es schwierig das gesamte Netzwerk lahmzulegen, besonders wenn immer wieder neue Server hinzugefügt werden. Sind die Adressen des C& C- Servers fest in den Bot implementiert, so kann dieser den Server nicht mehr erreichen, wenn die Adressen gesperrt werden. Wie man sieht, hat diese Technik ihre Grenzen, weshalb DNS- Einträge eingeführt wurden. DNS wird unterteilt in Domain Names und Multihoming. Der Unterschied zwischen den beiden ist, dass bei Domain Names verschiedene Domänen auf die gleiche IP- Adresse zeigen, während bei Multihoming eine Domäne auf mehrere unterschiedliche IP- Adressen verweist. Die Einführung von Domain Names und Multihoming haben die Bot- Herder dabei unterstützt, die Ausfallsicherheit der C& C- Server zu erhöhen. Heutzutage können Tools für einige hundert Dollar oder weniger gekauft werden. Diese Tools beinhalten meistens an webbasierte Sicherheitslücken individuell angepassten Schadcode, der nicht von den Antiviren- Programmen erkannt wird, und eine webbasierte Command- and- Control- Engine, die eine Backend- Datenbank zum Speichern von gestohlenen Informationen enthält.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
November 2017
Categories |