Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Das Aufkommen von Botnet- und DDoS-Angriffen

A10 Blog / Cybersicherheit / Der Anstieg von Botnet- und DDoS-Angriffen
David Bloxberg
David Bloxberg
|
Juli 7, 2022

Distributed Denial of Service (DDoS)-Angriffe sind zu einem alltäglichen oder, wie manche behaupten, stündlichen Problem geworden. DDoS-Angriffe wurden und werden von einer Vielzahl von Bedrohungsakteuren - von einzelnen Hackern, kriminellen Banden und Hacktivisten bis hin zu Nationalstaaten - mit einer Vielzahl von Techniken durchgeführt.

Diese Angriffe zielen darauf ab, die Leistung und Netzwerkkommunikation von Zielsystemen zu beeinträchtigen oder zu deaktivieren. Bei diesen Zielen kann es sich um kleine oder große Unternehmen, Internetdienstleister, Hersteller, Einzelhändler, Gesundheitsdienstleister, Schulen und Universitäten oder andere Nationalstaaten handeln. Im Grunde genommen kann jedes Unternehmen mit einer Online-Präsenz zum DDoS-Ziel werden.

Hier ist das Warum. Es gibt drei Hauptgründe, warum Menschen Botnets erstellen: Zur finanziellen Bereicherung durch Erpressung - zahlen Sie, oder wir greifen weiter an; um ein Zeichen zu setzen - hören Sie auf (oder fangen Sie an), etwas zu tun, oder wir machen weiter; oder, im Falle von staatlichen Akteuren, als Taktik der Spionage oder Cyber-Kriegsführung.

In unserem letzten Blogbeitrag haben wir uns mit der Geschichte von DDoS-Angriffen und unserem A10 Networks DDoS Threat Report befasst, in dem die bei DDoS-Angriffen verwendeten Techniken untersucht wurden. In diesem Artikel befassen wir uns mit der Funktionsweise von Botnet- und DDoS-Angriffen, dem gängigsten Mechanismus für Angriffe, bei denen Sammlungen von ferngesteuerten, kompromittierten Diensten oder Geräten zum Einsatz kommen.

Was ist ein Botnetz?

Zu den Bots eines Botnets können Computer, Smartphones, virtualisierte Maschinen und/oder eine Vielzahl von Geräten aus dem Internet der Dinge (IoT) gehören, z. B. IP-Kameras, Smart-TVs, Router - alles, was eine Internetverbindung hat und kompromittiert werden kann. Insbesondere IoT-Schwachstellen und Fehlkonfigurationen sind auf dem Verbrauchermarkt weit verbreitet, so dass es für Hacker sehr einfach ist, ein IoT-Botnet zu erstellen. Darüber hinaus können Botnets, insbesondere wenn sie Teil eines IoT-Botnets sind, riesige Ausmaße annehmen; ein einziges Botnet kann aus Hunderttausenden oder sogar Millionen von gekaperten Geräten bestehen.

Beim Hijacking von Geräten für ein Botnet geht es darum, Geräte zu finden, die Sicherheitslücken aufweisen, damit sie mit "Botware" infiziert werden können, also mit Malware, die auf dem Gerät installiert wird. Aber die mit Botware infizierten Geräte sind nicht das Einzige, was ein Botnet braucht.

Viele Quellen - darunter auch Wikipedia - scheinensich nicht einig zu sein, was ein Botnetz ist. Während der offensichtlichste Teil eines Botnets die Sammlung von Geräten ist, die es umfasst, ist die definierende Komponente die Existenz eines Befehls- und Kontrollsystems (C&C), das kontrolliert, was das Netzwerk von Bots tut.

Die Botware auf jedem kompromittierten Gerät kommuniziert mit dem Befehls- und Kontrollsystem des Botnetzes und wird Teil eines Netzwerks von Bots. Angesteuert durch Befehle eines "Botmasters" oder "Botherders" - der Person oder Gruppe, die die Bots kontrolliert - tun einige oder alle Geräte im Botnet, was immer sie tun sollen.

Botnet Command and Control

Die frühe Kommunikation zwischen Botnet-Befehls- und Kontrollsystemen und Botware auf kompromittierten Geräten basierte auf dem Client-Server-Modell, das beispielsweise den Internet Relay Chat (IRC) verwendete. Die Botware stellte eine Verbindung zu einem IRC-Kanal her und wartete auf Befehle. Jeder Bot kann auf demselben Kanal auch mit Statusaktualisierungen oder aus der Ferne erfassten Daten antworten. Alternativen zum IRC sind Telnet-Verbindungen und HTTP-Anfragen für Webseiten oder benutzerdefinierte Dienste. Es ist erwähnenswert, dass einige Botnetze ein hierarchisches C&C-System verwendet haben, bei dem Bots in mehreren Schichten auf Client-Server-Basis mit den Bots in der darüber liegenden Schicht kommunizieren und Befehle an die darunter liegende Schicht weitergeben.

Die neueste Botnet-Befehls- und Kontrollkommunikation für Botnets basiert auf Peer-to-Peer-Verbindungen (P2P). Bei diesem Modell entdecken sich kompromittierte Geräte gegenseitig, indem sie IP-Adressbereiche scannen, um bestimmte Port- und Protokolldienste zu finden, und, wenn ein anderes Botnet-Mitglied identifiziert wird, Listen bekannter Peers und weitergeleiteter Befehle austauschen. Diese Art von hochgradig verteiltem Mesh-Networking ist natürlich komplizierter zu erstellen, aber auch viel schwieriger zu stören.

Das Aufkommen des IoT-Botnetzes

Zu den IoT-Geräten gehört eine breite Palette von kommerziellen und privaten Geräten wie Temperaturmesssysteme, intelligente Fernsehgeräte, IP-Kameras, intelligente Türklingeln, Sicherheitssysteme, Netzwerk-Router und -Switches und sogar Kinderspielzeug. Trotz zahlreicher Kommentare und Warnungen über IoT-Schwachstellen und wohlbekannter Lösungen zur Verbesserung der Sicherheit werden grundlegende Schutzmaßnahmen wie das Erfordernis wirksamer Passwörter und das Verbot von Standardanmeldungen und -benutzerkonten immer noch ignoriert. Eine weitere Quelle für IoT-Schwachstellen sind Anbieter, die keine Updates zur Behebung von Sicherheitsproblemen bereitstellen, oder die Gerätebesitzer, die keine Updates einspielen.

Was machen Botnets?

Botnets werden für vier Hauptzwecke eingesetzt, und im Allgemeinen kann ein Botnet als Ganzes oder in Teilen zwischen diesen Funktionen umgeschaltet werden.

Spam und Phishing

Eine der ersten Verwendungen von Botnetzen war die Generierung von Spam, unerwünschten kommerziellen oder betrügerischen E-Mails. Durch den Einsatz von Bots zu diesem Zweck vermeiden Spammer das Problem, dass ihre IP-Adressen für den Massenversand auf eine schwarze Liste gesetzt werden. Und selbst wenn einige Bots auf eine schwarze Liste gesetzt werden, gibt es immer noch mehr Bots, die sie einsetzen können.

Ein gezielterer Einsatz von Botnet-Spam ist das Phishing zum Identitätsdiebstahl. Durch die Generierung riesiger Mengen von Spam-E-Mails, in denen die Empfänger aufgefordert werden, Werbe-Websites, Websites, die sich als Banken oder andere Finanzinstitute ausgeben, zu besuchen, an Gewinnspielen teilzunehmen usw., versuchen die Betrüger, persönliche Informationen wie Bankkontodaten, Kreditkartendaten und Website-Anmeldungen zu erlangen.

Pay-per-Click-Betrug

Um die Werbeeinnahmen von Websites zu steigern - Werbenetzwerke wie Google zahlen pro Klick auf die von den Websites geschalteten Anzeigen - werden Botnets eingesetzt, um Nutzerinteraktionen vorzutäuschen. Da die Quellen der Klicks verstreut sind, ist es für die Werbenetzwerke schwierig, Klickbetrug zu erkennen.

Kryptomining

Indem die Algorithmen, die Kryptowährungen wie Bitcoin und Ether schürfen, auf Zehntausenden von Bots ausgeführt werden, ist ein IoT-Botnet die perfekte Plattform. Auf diese Weise entzieht es dem Besitzer des Geräts Computerleistung und ermöglicht beträchtliche Einnahmen ohne die üblichen Mining-Kosten, vor allem aber ohne die Stromkosten.

DDoS-Angriffe als Dienstleistung

Distributed-Denial-of-Service-Angriffe lassen sich leicht mit Hilfe von Botnetzen durchführen, und wie bei Spam, der von Botnetzen erzeugt wird, erschwert der verteilte Charakter der Bots das Herausfiltern von DDoS-Verkehr. Botnets können jede Art von DDoS-Angriff ausführen und sogar mehrere Angriffsarten gleichzeitig starten.

Ein relativ neues Hackergeschäft ist DDoS-as-a-Service. Im Dark Web und jetzt auch im regulären Web können Sie DDoS-Angriffe für nur 5 $ pro Stunde kaufen; der Preis hängt vom erforderlichen Umfang und der Dauer des Angriffs ab.

Eine kurze Geschichte der Botnets

Das erste echte Internet-Botnet war wohl Bagle, das 2004 entdeckt wurde. Bagle war ein Windows-Wurm, der von einem Botmaster gesendeten Spam weiterleitete. Während die erste Version, Bagle.A, nur begrenzt erfolgreich war, infizierte die zweite Version, Bagle.B, etwa 230.000 Computer. Am Neujahrstag 2010 war die Malware für etwa 14 Prozent des gesamten Spam-Aufkommens verantwortlich. Im April 2010 versandte Bagle etwa 5,7 Milliarden Spam-Nachrichten pro Tag. Wie bei den meisten Schadprogrammen wurde der Code von anderen Hackern kopiert und verbessert, so dass bis 2005 über 100 Varianten in freier Wildbahn gefunden wurden.

Das erste Botnet, das seither einen DDoS-Angriff startete, war 2007 wohl Akbot. Das Akbot-Botnet wurde von einem 18-Jährigen in Neuseeland erstellt. Es nutzte ein auf IRC basierendes C&C-System und umfasste in seiner Spitze 1,3 Millionen Computer.

Im Laufe der Zeit sind Botnet-Angriffe alltäglich geworden, und das größte bisher bekannte Botnet, das russische BredoLab-Botnet, bestand aus 30.000.000 Geräten.

Die Zukunft von Botnetz- und DDoS-Angriffen

Botnets sind auf dem Vormarsch. Angesichts der exponentiellen Zunahme schlecht gesicherter IoT-Geräte, die in ein IoT-Botnet integriert werden können, sowie der wachsenden Zahl anfälliger Computer sind Botnet-Angriffe inzwischen endemisch. Als Mittel der Cyber-Kriegsführung wurden Botnet- und DDoS-Angriffe auf beiden Seiten der russischen Operation gegen die Ukraine beobachtet.

Unabhängig davon, ob Sie eine Regierungsorganisation oder ein privates Unternehmen sind, sollten Sie planen, wie Sie mit einem Botnet- und DDoS-Angriff umgehen werden. Der erste Schritt ist die Erkenntnis, dass kein Online-Objekt oder -Dienst zu groß oder zu klein ist, um angegriffen zu werden.

Zweitens: Planen Sie eine höhere Bandbreite ein, am besten je nach Bedarf. Wenn Sie Ihre Internetverbindung skalieren können, wird es für ein Botnetz und einen DDoS-Angriff schwieriger, Ihren Zugang zu sättigen und Sie vom Internet abzuschneiden. Die gleiche Strategie der elastischen Bereitstellung gilt auch für die Nutzung von Cloud-Diensten anstelle von On-Premise-Diensten oder Diensten in einzelnen Rechenzentren.

Als Nächstes sollten Sie die Nutzung eines Content Delivery Network (CDN) in Erwägung ziehen, um die Bandbreite für die clientseitige Bereitstellung zu erhöhen. Die Verwendung mehrerer CDNs erhöht auch Ihre Resistenz gegen DDoS-Angriffe.

Abschließend sollten Sie alles abhärten. Der strategische Einsatz von Hardware- und Software-DDoS-Minderungsdiensten in Ihrer gesamten Infrastruktur ist der Schlüssel dazu, dass Botnet- und DDoS-Angriffe nur minimale Auswirkungen haben.

Wie A10 Networks helfen kann

A10 Networks bietet Cybersicherheitslösungen an, darunter das A10 Thunder® Threat Protection System (TPS ), das fortschrittliche DDoS-Schutz- und -Minderungsstrategien zum Schutz vor Botnet- und DDoS-Angriffen einsetzt. A10 bietet außerdem Thunder SSLi an, das eine vollständige Transparenz des Netzwerkverkehrs bietet und es Angreifern erschwert, Malware in Ihre Netzwerke einzuschleusen oder Daten unbemerkt zu exfiltrieren.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
David Bloxberg
David Bloxberg
|
Juli 7, 2022

David Bloxberg ist ein erfahrener Kommunikator in der Tech-Branche und arbeitet an vorderster Front im Bereich Netzwerke und Cybersicherheit. Als ausgebildeter Journalist begann Bloxberg seine Karriere bei Knight-Ridder, Associated Press,... Mehr lesen

DDoS-Waffen-Bericht: Mehr als 15 Millionen DDoS-Waffen aufgespürt

Holen Sie sich den kostenlosen Bericht

Verwandte Ressourcen

  1. Das Aufkommen des IoT-Botnetzes
  2. Was ist ein Botnetz (IoT-Botnetz)?
  3. Was ist das Mirai-Botnetz und wie kann man DDoS-Angriffe verhindern?