Trojaner-Spam, DDoS-Angriffe & Co.
Botnetz-Check: So schützen Sie sich
Haben Sie den Verdacht, Ihr PC steckt in einem Botnetz, mit dem Cyberkriminelle Spam versenden oder DDos-Attacken ausführen? Machen Sie den Check!
Erst mit vereinten Kräften aus den USA, den Niederlanden, Luxemburg, Russland und Polen gelang es Interpol, das Botnetz SIMDA zu zerschlagen. Die Urheber richteten seit mindestens vier Jahren mithilfe infizierter PCs unbescholtener Benutzer immensen finanziellen und persönlichen Schaden an. Nach Expertenschätzungen sorgte SIMDA für zwei Prozent der sich weltweit im Umlauf befindlichen Malware. Ob Ihr PC Teil des Netzwerkes war, können Sie auf einer Webseite von Kaspersky prüfen lassen.
Was ist ein Botnetz?
SIMDA ist natürlich nur das jüngste Beispiel unter vielen. Als Botnetz bezeichnet man üblicherweise den Zusammenschluss vieler Computer – mitunter im Millionenbereich – zur Ausübung illegaler Tätigkeiten. Die Rechner unschuldiger Benutzer verwandeln sich zu sogenannten ‚Bots‘ oder ‚Zombies‘ durch spezielle Malware, die sie sich unverhofft einfangen können. Diese zunächst simplen Programme laden unbemerkt und selbstständig neue Updates in Form weiterer Malware herunter. So verschafft sich das Programm zusätzliche Befugnisse zur maximalen Kontrolle über den Bot-PC. Dieser kommuniziert über Kernserver, sogenannte Command-&-Control-Server (C&C), die direkt von den Drahtziehern selbst bedient werden. Damit verschaffen sich die Kriminellen maximale Kontrolle über die Bots.
Als Schaltzentrale dienen nicht selten IRC-Server, die im Tor-Netzwerk versteckt werden. Durch die vielen verschiedenen Tor-Knotenpunkte wird die Kommunikation zwischen C&C-Servern und Bots verschlüsselt; zudem erlaubt Tor weniger Ansatzpunkte, da man die Server nur innerhalb des Netzwerkes mit Kenntnis der ONION-Adresse ansteuern kann.
Weiterentwicklung von Botnetzen
Dennoch: Sind diese Sicherheitsvorkehrungen überwunden und kann ein C&C-Server identifiziert werden, ist es umso leichter, das restliche Netzwerk auszuhebeln und die Opfer-PCs ausfindig zu machen. Im Beispiel von SIMDA handelte es sich um 700.000 Rechner in über 190 Ländern. Ihre zentrale Organisation ist die größte Schwäche solcher Botnetze.
Daher sind einige Botnetz-Architekten dazu übergegangen, Peer-to-Peer-Kommunikation als Backup-System für das Botnetz zu integrieren, falls C&C-Server nicht erreichbar sind (zum Beispiel im Falle einer Razzia). Jeder Knotenpunkt des P2P-Botnetzes kann so als Slave oder Master, sprich C&C-Server fungieren.
Das Geschäftsmodell
Die Verbreitung moderner Malware ist ein viele Millionen US-Dollar schweres Geschäft. Kriminelle Organisationen beschäftigen Hunderte von Programmierern, die Internet-Traffic auf Malware-Seiten lenken. Um bösartige Anbieter-Seiten in der Google-Suche möglichst weit oben anzuzeigen, versuchen diese Programmierer mithilfe von Blackhat-SEO-Taktiken den Google-Algorithmus auszutricksen. Deren Entlohnung erfolgt innerhalb eines „pay-per-install“- Programms für jeden neu infizierten PC. Hat die Bot-Malware erst einmal Opfer gefunden, lädt diese weitere Malware, oft von weiteren Botnetzen, herunter. Dadurch vervielfältigt sich der Profit drastisch, sobald mehrere Malwares verschiedener Urheber gegenseitig aufeinander verweisen. Laut Trend Micro kann ein einzelner Cyberkrimineller so auf ein Monatsgehalt von bis zu 300.000 Dollar kommen. Was rechtfertigt solch fürstliche Entlohnung? Botnetze erschließen vielfältige Einnahmequellen für die Cyberkriminellen:
» Datendiebstahl: Die Malware verschafft sich Zugang auf persönliche Informationen des Opfers mit der Absicht, diese entweder direkt oder durch Weiterverbreitung finanziell zu nutzen. Darunter fallen Keylogger (Aufzeichnung von Tastatureingaben), Screen Scrapers (periodische Screenshots werden gemacht), Spy- und Adware. Online-Banking und Kreditkartenzahlungen am PC sind beliebte Ziele für schnelles Geld.
» Spam: Und das nicht zu knapp. Die größten Spam-Verteiler der Welt sind Botnetze. Ein einzelner PC im Botnetz kann täglich mehrere Hunderttausend Spam-Mails verschicken. Nutzen Sie deshalb Spam-Filter, damit Ihr Postfach nicht “überläuft”.
» Proxy Standby: Wenn ein Cyberkrimineller schnell eine Online-Identität braucht, kann er die Identität eines der Bots annehmen bzw. diesen Service an andere Kriminelle vermieten.
» Click Fraud: Der Bot generiert nicht legitime Klicks auf Bannerwerbung im Namen des Opfers und die Botnetz-Betreiber kassieren über Umwege die Honorare der Werbetreibenden ab.
» Rogue AV: Hierbei handelt es sich um eine Form von Ransomware, die vorgibt, ein Antivirusprogramm zu sein. Durch Popups erweckt die Malware zunächst den Eindruck, der Opfer-PC sei bereit infiziert. Als Maßnahme dagegen wird der Benutzer sodann angewiesen, dieses vermeintliche Sicherheitsprogramm kostenpflichtig zu erwerben. Statt Malware zu entfernen, spielt die Rogue AV im Gegenteil aber nur weitere Malware ein, wie zuletzt bei einem gefälschten Avast-Virenscanner.
» DDoS-Angriff: Die Abkürzung steht für distributed denial of service und meint eine gezielte und massenhafte Beanspruchung einer Webseite. Dies soll zur Überlastung führen und die Webseite für längere Zeit unerreichbar machen. Die Bots müssen zu diesem Zweck einfach nur aktiviert werden und besuchen die Webseite automatisch immer und immer wieder. Kaspersky Lab hat im 1. Quartal 2015 etwa 23.000 DDoS-Angriffe verzeichnet.
Ziel dieser Angriffe sind Unternehmen, die bei einem solchen Ausfall mit Hunderttausenden Dollar und mehr an Schaden rechnen müssen. Üblicherweise wird Lösegeld erpresst, entweder um einen drohenden Angriff abzuwenden oder um einen laufenden Angriff anzuhalten.
DDoS-Angriffe werden aber auch regelmäßig ohne finanzielle Beweggründe getätigt. Angehende Hacker verüben sie als Test ihrer Fähigkeiten; Hacktivisten benutzen DDoS-Angriffe als Strafe für Unternehmen und Organisationen, die in Verruf geraten sind. Im Jahr 2008 legte das Hacker-Kollektiv Anonymous zum Beispiel die Webseite von Scientology lahm. Viele Firmen erfahren jedoch nie, warum sie zum Opfer wurden.
Allgemeine Prophylaxe
Botnetz-Malware ist sehr schwer zu identifizieren. Das Opfer erteilt dem Programm schließlich alle Befugnisse, die es braucht. Und das Schadprogramm führt schließlich keine anderen Tätigkeiten aus, die der Benutzer selbst nicht auch tun könnte.
Antiviren-Software und eine Software-Firewall sind dennoch Ihre wichtigsten Werkzeuge im Kampf dagegen, solange Sie diese immer auf dem neuesten Stand halten. Prüfen Sie außerdem, welche Prozesse derzeit automatisch laufen. Das sehen Sie im Task-Manager und der Systemkonfiguration (Start – Ausführen – msconfig). Unbekannte oder verdächtige Prozesse können Sie auf Seiten wie www.processlibrary.com überprüfen lassen.
Verantwortungsbewusstes Surfen ist die halbe Miete
Die effektivste Maßnahme ist und bleibt jedoch kluges und besonnenes Surfverhalten. E-Mails ohne bekannten Absender sind mit Vorsicht zu behandeln und deren Anhänge sollten auf keinen Fall heruntergeladen werden. Prüfen Sie bei jedem Link, ob es sich nicht womöglich um einen Phishing-Versuch handelt (schädliche Webseite, die sich als vertrauenswürdige Webseite tarnt), indem Sie die Internetadresse kopieren statt darauf zu klicken. Noch höhere Vorsicht geboten ist auf Seiten, denen Sie nicht vertrauen. Selbst der Aufenthalt auf einschlägigen Seiten kann riskant sein, da sich bestimmte Malware automatisch ohne Wissen des Benutzers selbst herunterlädt (Drive-by-Download). Fallen Sie auch nicht auf einschüchternde Pop-ups herein: „Ihr Computer ist zu langsam“, „Wir haben Raubkopien auf Ihrer Festplatte festgestellt“ oder „Ihr Flash-Player ist veraltet“ sind Nachrichten, die Sie in einem Browser-Pop-up keinesfalls ernst nehmen sollten.
Browser-Vorkehrungen
Apropos Browser: Als Schnittstelle zwischen Benutzer und PC ist er natürlich das Primärziel zur Verbreitung von Botnetz-Malware. Prüfen Sie folgende Eigenschaften in der Browser-Konfiguration:
» Ihr Standard-Browser sollte auf jeden Fall bei Ihnen nachfragen, sobald ein anderer Browser diese Rolle übernehmen möchte.
» Deaktivieren Sie Java. Wenn Sie häufig auf Seiten surfen, die Java benutzen (ohne Alternativangebot wie HTML5), empfielt sich ein separater Browser in einer virtuellen Maschine, auf dem Sie Java erlauben.
» Cookies von Drittanbietern müssen vor der Aktivierung um Erlaubnis bitten.
» Fragt ein Cookie nach Erlaubnis, vergeben Sie diese lieber nur für die momentane Sitzung, außer es handelt sich um eine vertrauenswürdige Seite, die Sie häufiger besuchen.
» Browser-Erweiterungen von Drittanbietern sollten generell abgelehnt werden.
» Vor einem Download sollte Ihr Browser Sie immer erst nach dem Speicherort fragen, und unter keinen Umständen sollten Sie den Browser heruntergeladene Dateien automatisch öffnen lassen.
» Auto-Vervollständigung in Internetformularen und in der Adresszeile des Browsers sollte standardmäßig ausgeschaltet sein.
» Installieren Sie Browser-Erweiterungen, die das Starten böswilliger Skripte verhindern. Für Mozilla Firefox empfehlen wir hierfür NoScript und für Google Chrome ScriptSafe. Diese Erweiterungen blockieren unsichere Webseiten-Elemente und lassen den Benutzer diese freischalten, indem er zum Beispiel auf ein integriertes Video innerhalb der Webseite klickt und das Skript manuell zulässt. Beide Erweiterungen erlauben Ihnen natürlich, vertrauenswürdige Webseiten auf eine Whitelist zu setzen.
Botnetz-Malware entfernen
Sind Sie nach einem gründlichen Scan Ihres Systems durch Ihre Antiviren-Software dennoch zu dem Schluss gekommen, dass Ihr PC Teil eines Botnetzwerks sein könnte, finden Sie online viele kostenlose Bot-Entfernungstools, die auf besondere Signaturen und andere Bot-Merkmale spezialisiert sind:
» Microsoft Malicious Software Removal Tool
» Phrozen ADS Revealer
» Trend Micro RUBotted
» BotHunter
Oder der Antiviren-Hersteller Ihres Vertrauens.
