Was ist ein Botnet (IoT-Botnet)?

Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Geräten, die unter die Kontrolle von Cyberkriminellen geraten sind und für ihre eigenen bösartigen Zwecke genutzt werden. Durch den Einsatz von Malware zur Infizierung einer großen Anzahl anfälliger PCs, Server, mobiler Geräte und IoT-Geräte (Internet der Dinge) können "Bot-Hirten" riesige Mengen an aggregierter Rechenleistung und Funktionalität anzapfen, um unter anderem automatisierte verteilte Denial-of-Service-Angriffe(DDoS-Angriffe) zu starten, Datenexfiltrationen durchzuführen, Klickbetrug zu begehen und Spam-E-Mails zu versenden. In den letzten Jahren haben Botnets auch eine wachsende Rolle beim Kryptomining gespielt, da Cyberkriminelle ihre Ressourcen für die massive Rechenleistung nutzen, die für das Münzen von Kryptowährungen erforderlich ist.

Obwohl Botnets für die Benutzer der infizierten Geräte in der Regel unsichtbar bleiben und nur einen Bruchteil der verfügbaren Ressourcen nutzen, können die Auswirkungen ihrer Aktivitäten verheerend sein, z. B. wenn ein volumetrischer DDoS-Angriff oder ein Protokoll-DDoS-Angriff Netzwerkdienste unterbricht oder ein ganzes Netzwerk offline schaltet. Die von kriminellen Organisationen häufig zur Miete angebotenen Botnets sind zu einem beliebten Werkzeug für Hacker aller Art geworden, von verärgerten Spielern, die einen Gegner untergraben oder einen Wettbewerb stören wollen, bis hin zu Universitätsstudenten, die eine Prüfung hinauszögern wollen.

Aufbau eines Botnetzes

Um ein Botnet zu erstellen, verwendet ein Hacker Malware wie Mirai, um Geräte mit anfälligen Endpunkten ausfindig zu machen. Dazu eignet sich jede Art von Gerät - ein Smartphone oder Laptop, ein Smart-Home-System, ein Netzwerkspeichergerät, ein Smart-TV, alles, was über eine Internetverbindung und eine schwache Sicherheit verfügt. Wenn Geräte in diese wachsende Zombie-Armee aufgenommen werden, können sie vom Bot-Herder mithilfe von Command-and-Control-Software (C&C) über standardbasierte Kommunikationskanäle wie IRC und HTTP oder Peer-to-Peer-Verbindungen (P2P) gesteuert werden. Sobald das Botnet eine kritische Masse erreicht hat, kann der Bot-Herder seine Macht einsetzen, um automatisierte DDoS-Angriffe, Spam- oder Klickbetrugs-Kampagnen, Kryptomining-Operationen oder Datendiebstahl zu starten.

Wie ein DDoS-Botnetz funktioniert

Da ein Botnet eine massive, verteilte Basis von mit dem Internet verbundenen Geräten bietet, ist es ideal geeignet, um einen verteilten Denial-of-Service-Angriff zu starten. Tatsächlich wird bei DDoS-Angriffen fast immer ein DDoS-Botnet eingesetzt. Indem von jedem Zombie-Gerät ein hohes Volumen an gefälschtem Datenverkehr gesendet wird, kann das Botnet das Zielnetzwerk schnell überlasten. Da der Webserver mit der Bewältigung der Flut von Anfragen zu kämpfen hat, werden seine Prozessorzyklen, Netzwerkschnittstellen und der für die Kommunikationsverarbeitung verwendete Speicher erschöpft, was dazu führt, dass Verbindungen aus dem normalen Verkehr verlangsamt oder sogar ausgeschlossen werden.

Bei einem volumetrischen DDoS-Angriff setzt das DDoS-Botnet Brute-Force-Techniken ein, um das Ziel mit Datenpaketen zu überfluten und Bandbreite und Ressourcen zu verbrauchen. Zunehmend versuchen Hacker, die Auswirkungen eines volumetrischen DDoS-Angriffs zu vervielfachen, indem sie die Verstärkungsfaktoren gängiger Protokolle und Dienste im Internet ausnutzen. Bei diesem Ansatz der reflektierten Verstärkung sendet der Angreifer mehrere Anfragen an diese Dienste, wobei er die IP-Adresse des Opfers vortäuscht und die Server dazu bringt, mit großen verstärkten Antworten zu antworten. Diese Taktik hat zu rekordverdächtigen volumetrischen Angriffen geführt, darunter ein DDoS-Angriff auf Microsoft im November 2021, der einen Durchsatz von 3,47 Terabit pro Sekunde erreichte. Volumetrische DDoS-Angriffe werden oft als Deckmantel für andere Arten von Angriffen verwendet, indem die Sicherheitsinfrastruktur des Opfers außer Kraft gesetzt wird, um die Überwachung zu erschweren oder unmöglich zu machen.

Ein Protokoll-DDoS-Angriff nutzt die Schwächen und die Komplexität von Internet-Kommunikationsprotokollen aus, um das Zielnetz zu gefährden. So wird beispielsweise das Border Gateway Protocol (BGP) von Netzbetreibern verwendet, um anderen Netzen mitzuteilen, wie ihr Adressraum konfiguriert ist. Durch das Senden eines gefälschten BGP-Updates kann ein Hacker den Netzwerkverkehr umleiten, um die Ressourcen des Zielnetzes, wie Router und Firewalls, zu überlasten und zu erschöpfen. Im Jahr 2018 nutzten Hacker BGP-Hijacking in Verbindung mit einem DDoS-Botnet, um den für MyEtherWallet, einen Dienst zur Verwaltung von Ethereum-Kryptowährungskonten, bestimmten Datenverkehr auf russische Server umzuleiten und so den Diebstahl von Kryptowährungs-Wallets zu erleichtern.

Das Aufkommen des IoT-Botnetzes

Das Internet der Dinge ist ein Segen für Bot-Hirder, da es eine Brutstätte für Denial-of-Service-Angriffe darstellt. IoT-Geräte sind berüchtigt für schwerwiegende Sicherheitsprobleme, von schwachen oder voreingestellten Passwörtern und unzureichenden Sicherheitskonfigurationen bis hin zum offenen Zugang zu Verwaltungssystemen und Verwaltungskontrollen. Sicherheits-Patches werden oft vernachlässigt, vor allem bei Verbrauchergeräten, die für den freihändigen Besitz konzipiert sind. Die Netzwerke, über die sie mit dem Internet verbunden sind, wie z. B. Wifi-Systeme zu Hause, werden in der Regel nicht überwacht. Diese Schwachstellen machen es Hackern nur allzu leicht, diese Geräte in ein IoT-Botnetz einzubinden und dabei langfristig unentdeckt zu bleiben.

Ende 2016 wurde eine Reihe von rekordverdächtigen DDoS-Angriffen gestartet, die Forscher letztlich dem Mirai IoT-Botnet zuschrieben. Dazu gehörten DDoS-Botnet-Angriffe auf den Cybersecurity-Blog KrebsOnSecurity und Dyn DNS (Domain Name Service), die das damals noch nie dagewesene Verkehrsaufkommen von einem Terabit pro Sekunde erreichten. Mirai wurde entwickelt, um das Internet nach ungesicherten Geräten zu durchsuchen, und versuchte zunächst, sich mit gewöhnlichen Standardpasswörtern anzumelden, bevor es auf Brute-Force-Raten zurückgriff. Die anschließende Veröffentlichung des Mirai-Quellcodes trug dazu bei, dass die Malware zu einem der gängigsten Mechanismen zur Rekrutierung eines IoT-Botnets wurde. In den darauffolgenden Jahren haben sich Mirai-Varianten weiter verbreitet und Tausende von IoT-Botnet-DDoS-Angriffen gegen Opfer aus dem Berufs-, Finanz- und Informationsdienstleistungssektor registriert.

Botnets und die Log4j-Schwachstelle

Als eines der auffälligsten Merkmale der Cybersicherheitslandschaft ist es keine Überraschung, dass Botnets eine wichtige Rolle bei der Log4j-Schwachstelle, dem schwerwiegendsten Sicherheitsproblem der letzten Jahre, gespielt haben. Bei der im Dezember 2021 bekannt gewordenen Log4j-Schwachstelle handelt es sich um eine Schwachstelle im weit verbreiteten Open-Source-Softwarepaket Log4j, die es Bedrohungsakteuren ermöglicht, RCE-Angriffe (Remote Code Execution) auf die Java-Protokollierungsbibliothek Apache Log4j durchzuführen. Nach Bekanntwerden der Sicherheitslücke nutzten Hacker diese sofort aus. Während einige dieser Angriffe politischer Natur waren, erwies sich Log4j auch als äußerst beliebtes Mittel, um groß angelegte Scans nach anfälligen Websites durchzuführen, um Krypto-Mining- und DDoS-Plattformen zu schaffen.

Innerhalb weniger Wochen nutzten Mirai IoT-Botnets die Log4j-Schwachstelle, um Geräte wie IP-Kameras, Smart-TVs, Netzwerk-Switches und Router zu rekrutieren. Seitdem wurden zwei weitere Botnets, Elknot (auch bekannt als BillGates-Trojaner) und Gafgyt (BASHLITE), entdeckt, die die Log4j-Schwachstelle als Denial-of-Service-Angriffsplattform nutzen. Obwohl aktualisierte Versionen von Log4j zur Schließung der Log4j-Schwachstelle bereits kurz nach deren Aufdeckung zur Verfügung standen, geht die Implementierung dieser Patches in der gesamten Branche noch viel zu langsam voran.

Nutzung von Zero Trust und Threat Intelligence für den DDoS-Schutz

Da sich Botnets - insbesondere IoT-Botnets - immer weiter ausbreiten und die Denial-of-Service-Bedrohung verstärken, konzentrieren sich Unternehmen verstärkt auf den DDoS-Schutz. Das Zero-Trust-Framework ist ein wichtiges Element dieser Bemühungen und trägt dazu bei, dass Netzwerke nicht durch eine "never trust, always verify"-Philosophie als Waffe eingesetzt werden.

Kontinuierliche Überprüfungen im gesamten Netzwerk stellen sicher, dass nur authentifizierte und autorisierte Benutzer und Konten auf Ressourcen zugreifen können. Ergänzt wird dies durch Mikrosegmentierung, Mikroperimeter, umfassende Transparenz, Analyse und Automatisierung sowie einen gut integrierten Sicherheits-Stack.

Jenseits von Zero Trust ist Bedrohungsintelligenz entscheidend, um einen Denial-of-Service-Angriff zu verhindern. Zeitnahe Daten über aktuelle DDoS-Aktivitäten, wie z. B. die IP-Adressen von DDoS-Botnetzen und verfügbare anfällige Server, die üblicherweise für DDoS-Angriffe verwendet werden, können in Verbindung mit Echtzeit-Bedrohungserkennung, Funktionen für künstliche Intelligenz (KI)/maschinelles Lernen (ML) und automatischer Signaturen-Extraktion Unternehmen in die Lage versetzen, einen schützenden Ansatz zur Eindämmung von DDoS-Angriffen zu verfolgen.

Wie A10 Networks durch Botnets verursachte DDoS-Angriffe entschärft

Das A10 Networks Thunder® Threat Protection System (TPS®) bietet eine intelligente DDoS-Schutzlösung, die eine Vielzahl von DDoS-Angriffen abwehrt. Da die IoT-basierten DDoS-Angriffe zunehmen, gewährleistet unsere DDoS-Schutzlösung die kontinuierliche Verfügbarkeit von Diensten in schwierigen Zeiten.

A10 NetworksDie Sicherheitsforscher von A10 sind führend bei der Aufklärung von DDoS-Waffen, einschließlich des maßgeblichen jährlichen DDoS-Bedrohungsberichts. A10 bietet ein umfassendes und konvergentes System, mit dem Unternehmen einen umfassenden DDoS-Schutz erreichen können.