Alles über Spam-, DDoS- und Mining-Bots

Ist mein PC ein Bot? Botnetze verstehen und erkennen

5.2.2018 von Mattias Schlenker

Ein Botnet oder Botnetz befällt tausende PCs und nutzt sie als Spam-, DDoS- oder Mining-Bots. Wir erklären, wie ein Botnetz funktioniert - und wie Sie erkennen, ob Ihr PC infiziert wurde.

ca. 4:00 Min

Ratgeber

Ist mein PC ein Bot? Botnetze verstehen und erkennen
Botnetz-Check: Wie Sie Bots auf PC und im Heimnetz erkennen

Botnetz erkennen und Funktionsweise verstehen — Unser Ratgeber hilft, ein Botnetz zu erkennen und seine Funktionsweise zu verstehen.

Bots sind Kinder des Internet. Während Viren von den späten 1980ern bis Ende der 1990er den asynchronen Austausch von Daten nutzten – zunächst per Datenträgertausch, später durch kurz online ausgetauschte „elektronische Post“, sind Bots auf eine fast dauerhafte Internetverbindung angewiesen. Einerseits fragen sie ständig nach Befehlen ihres „Meisters“ an, andererseits sind gerade viele Aktionen der Bots darauf ausgerichtet, mit niedriger Datenrate, aber hoher Wirksamkeit Aufgaben zu erfüllen.

Was ist ein Bot(netz)?

Ein Botnetz (auch Botnet) besteht aus mindestens drei Komponenten, die im Idealfall (für Betreiber und Entwickler des Botnetzes, nicht für unfreiwillig Betroffene!) maximal austauschbar sind: einer Wurmsoftware, die für die Verbreitung von Rechner zu Rechner sorgt, einer Software, die Command-and-Control-Server sucht, und schließlich einer Komponente, die versucht, die heruntergeladene „Nutzlast“ in einer Weise auszuführen, die möglichst unauffällig ist.

Die Komponenten können wie im Falle des Mirai Botnetzes zusammengefasst oder auch weiter gesplittet werden. Es ändert sich jedoch nichts an ihrer prinzipiellen Abhängigkeit von Internetverbindungen, die benötigt werden, um die Arbeit durchzuführen (die Nutzlast auszuführen) und das Botnetz mit der Wurmkomponente weiter zu verbreiten.

Botnetz Funktionsweise — Beispiel Bitcoin-Bot: Unsere Illustration zeigt, wie ein Botnetz funktioniert.

Auffällig bei vielen Botnetzen ist auch, dass viele Bots Tage, Wochen oder gar Monate lang schlafen, bevor sie das erste Mal in Aktion treten. Der Hauptgrund hierfür ist, dass es aus Sicht der Botnetzbetreiber deutlich effizienter ist, ein großes Botnetz seine Arbeit aufnehmen zu lassen, als bereits ab einer Verbreitung von wenigen Hundert „Teilnehmern“ mit Gegenmaßnahmen konfrontiert zu sein. Ein weiterer Grund ist häufig, dass so weitere Verbreitungsarten hinzugefügt werden können – die Wurmkomponente kann also erste Evolutionsschritte durchlaufen, bevor die Komponente zur Ausführung der Nutzlast überhaupt in Erscheinung tritt.

Unauffällig bleiben

Die drei Hauptaufgaben von Botnetzen sind der SPAM-Versand, die Durchführung von Denial-of-Service-Attacken und das Schürfen verschiedener Kryptowährungen wie Bitcoin (seltener) oder Ethereum (häufiger).

In allen drei Fällen versuchen intelligent programmierte Bots, sich unauffällig zu verhalten: Ein Botnetz aus Hundertausenden Spambots kann beispielsweise relativ unauffällig große Mengen an Spam verschicken, wenn jeder einzelne Teilnehmer nur eine kleine Zahl Spam-Mails pro Tag verschickt.

Bei Attacken vom Typ Denial of Service (DoS), bzw. genauer Distributed Denial of Service (DDoS), also dem Lahmlegen von Diensten, genügt es beispielsweise, wenn jeder einzelne Rechner ein paar Dutzend TCP-Verbindungen öffnet und hierüber sehr langsam Daten herunterlädt. Jedem einzelnen Teilnehmer des Botnetzes fällt weder die genutzte Bandbreite auf (ein winziger Bruchteil einer DSL-Verbindung), noch besteht die Gefahr, ans Limit der Anzahl der TCP-Verbindungen zu gelangen.

Mining Bots versuchen, die Systemlast gering zu halten, wenn erkannt wird, dass ein Nutzer gerade mit dem System interagiert oder sich beispielsweise ein Notebook im Batteriebetrieb befindet. Perfide: Da kommt man an seinen PC mit laut laufendem Lüfter, wundert sich, was wohl die hohe Last verursacht, um gleich nach dem Anmelden festzustellen, dass alles normal ist – meist vergisst man dann, nach der Ursache zu suchen, und der Bot kann munter Wochen oder Monate lang Kryptogeld schürfen und dabei durchaus spürbare Stromkosten verursachen.

War es der Testlauf für einen größeren Angriff? Im März 2017 tauchten einige Tage Bitcoin Miner in Trojanern des Mirai Botnetzes auf.

Ein weiterer Schritt zu großer Unauffälligkeit ist die Installation mit normalen Nutzerrechten (nicht mit Administratorrechten): Weder Spam-Bots noch DDoS-Bots benötigen zwingend erhöhte Rechte. Oft genügt es, die als Nutzlast gedachte Software beim Login eines Nutzers per Registry-Autostart zu starten. Gerade bei Programmen zum Schürfen von Kryptowährungen ist für sogenannte Sicherheitssoftware kein Unterschied zwischen einem legitimen (also fürs eigene Portemonnaie) und einem illegitimen Tool zu erkennen.

Webmining

Eine interessante neue Entwicklung der letzten Monate ist das Schürfen von Kryp-towährungen im Webbrowser. Für JavaScript existieren einige Ethereum-Miner, die gerade von Pornoseiten gerne statt Werbung (oder zusätzlich) eingesetzt werden: Während das Filmchen läuft (das idealerweise als h.264 in Hardware dekodiert wird) und die gesamte Aufmerksamkeit des Betrachters erfordert, schürft ein JavaScript-Programm im Hintergrund Kryptogeld. Schließt man den Tab, ist der Spuk vorbei.

Mit der Einführung des performanteren Webassembly dürfte sich das Problem noch verschärfen. Einigen findigen Web-Entwicklern ist es gelungen, Pop-up-Fenster zu öffnen, in denen Kryptogeld geschürft wird, und diese bei Windows unter alle anderen Fenster und die Uhr zu platzieren. Wer sich nach dem Schließen aller Browserfenster über eine bleibend hohe Systemlast wundert, sollte die Taskleiste einmal an eine andere Stelle verschieben.

javascript miner — Popunder: Ein JavaScriptMiner läuft gut versteckt in einem Fenster unter der Uhr (rechts).

Die Ökonomie der Botnetze

Ein interessanter Aspekt bei Botnetzen ist, dass verschiedene Gruppen an der Erstellung der Netzwerke arbeiten und diese Arbeitsteilung schnöde mit Geld vergütet wird: Der Initiator eines Botnetzes kauft zur Verbreitung notwendige Kenntnis über Sicherheitslücken oder fertigen Code, der diese ausnutzt. In vielen Fällen wird er beispielsweise Hosting-Kapazitäten in Form gehackter Blogs oder Foren kaufen, um seine Software per Drive-by-Download zu verteilen.

botnet tracker screenshot — Auf botnet-tracker.blogspot.de führt Chih Cherng Chin regelmä ßige Statistiken und Analysen über Auftreten und Niedergang von Botnetzen. Außerdem veröffentlicht er IP Adressen von Rechnern mit verdächtigen Aktivitäten.

Ist das Botnetz groß genug, wird der Betreiber damit beginnen, dessen Kapazitäten in Untergrundmarktplätzen anzubieten. Er kann mit der Flexibilität bei Botnetzen werben, die verschiedene Nutzlasten ausführen können, oder er kann bei reinen Spam- oder DDoS-Netzwerken zum Beispiel hohe Kapazitäten oder viele gut angebundene Clients hervorheben.

Die Bezahlung erfolgt dann in der Regel in Bitcoins, andere gerne genutzte Zahlungsarten sind Paysafe-Cards, Prepaid-Debitkarten oder die Gutscheine großer Online-Händler wie Amazon oder iTunes. Solche Gutscheinkarten lassen sich beispielsweise über Online-Auktionshäuser leicht in gängige Währung tauschen.

Weiterlesen: Nun verstehen Sie, wie Botnetze funktionieren. Auf der nächsten Seite erklären wir, wie Sie Botnetze erkennen - auf Ihrem PC und in Ihrem Heimnetz.