Was sind DDoS-Botnetze?

Im November 2021 entschärfte Microsoft einen rekordverdächtigen 3,47-TBit/s-Angriff eines massiven DDoS-Botnetzes, das in den Vereinigten Staaten, China, Südkorea, Indien und anderen Ländern operierte. Der Angriff dauerte 15 Minuten und richtete sich gegen einen in Asien ansässigen Azure-Kunden.

Dies zeigt, wie raffiniert und gefährlich die Welt der Cyberkriminalität geworden ist. Selbst Tech-Tycoons sind nicht sicher!

Vorfälle wie dieser zeigen, wie wichtig es ist, DDoS-Angriffe und DDoS-Botnetze zu verstehen. In diesem Artikel erfahren Sie alles über diese Zombie-Netzwerke und warum sie so gefährlich sind.

DDoS ist die Abkürzung für „Distributed Denial-of-Service“, eine Art von Cyberangriff, bei dem ein Server mit bösartigem Datenverkehr überlastet wird. Das Ziel? Eine Website oder Webdienste vorübergehend oder dauerhaft lahmzulegen.

Wie funktioniert also ein DDoS-Angriff? Hacker nutzen Geräte mit aktiven Internetverbindungen aus, indem sie sie mit Malware infizieren, um sich Fernzugriff zu verschaffen – in der Regel, ohne dass die Besitzer davon wissen. Diese verseuchten Geräte werden als Bots und eine Gruppe von ihnen als Botnetz bezeichnet.

Im Folgenden erfahren Sie, was ein DDoS-Botnetz ist, was es bewirkt und wie Sie Ihre Geräte vor den Angriffen böswilliger Akteure schützen können.

Was ist ein DDoS-Botnetz?

Wie bereits erwähnt, ist ein Botnetz ein Netzwerk von mit Malware infizierten Geräten, die von Bedrohungsakteuren ferngesteuert werden, um bösartige Aktivitäten auszuführen. Hacker nutzen diese „Roboter-Netzwerke“ in der Regel für Spamming, Spoofing, Phishing, Ransomware und DDoS-Angriffe.

Botnetze, die für DDoS-Angriffe genutzt werden, werden als DDoS-Botnetze bezeichnet. Cyber-Akteure wählen verschiedene Arten von Malware aus, je nachdem, auf welche Branchen sie es bei einer bestimmten Episode abgesehen haben. Einige Schadprogramme ermöglichen die Fernsteuerung, während andere verdeckt Daten stehlen oder abfangen.

Ein böswilliger Hacker, der ein Botnetz kontrolliert, wird als Bot-Herder oder Bot-Master bezeichnet. Heutzutage sind die bei DDoS-Angriffen verwendeten Tools auf dem Schwarzmarkt für weniger als 5 Dollar erhältlich, was diese Art der Cyberkriminalität zu einer der beliebtesten macht.

Wie funktioniert ein DDoS-Botnetz?

Ein DDoS-Botnetz führt die Remote-Befehle eines Bot-Herders aus, um Distributed-Denial-of-Service-Angriffe durchzuführen. Je nach Motivation für einen DDoS-Angriff können solche Botnetze zwischen Hunderten und Tausenden von Bots umfassen.

Cyber-Akteure wissen, wie sie Botnetze für DDoS-Angriffe aufbauen können, ohne jemals entdeckt oder identifiziert zu werden. Wie funktioniert ein Botnetz oder „Zombie-Netzwerk“ eigentlich?

Zunächst nutzen Hacker Sicherheitsschwachstellen aus, indem sie Malware einsetzen, um die Kontrolle über die Geräte der Opfer zu erlangen, darunter Computer, Smartphones, Tablets und IoT-Geräte wie WLAN-Router. Zu den gängigen Infektionswegen und -methoden gehören Schwachstellen in Websites, betrügerische Links, Phishing-E-Mails, ungesicherte Netzwerke und Trojaner-Malware.  

DDoS-Botnetz-Malware kann entweder die vollständige Kontrolle über ein infiziertes Gerät (oder einen Bot) übernehmen oder unbemerkt im Hintergrund laufen und auf Befehle von einem Bot-Herder warten.

Sobald ein Gerät infiziert ist, kann es sogar versuchen, die Botnetz-Malware durch Selbstverbreitung auf andere Geräte im selben Netzwerk zu übertragen – so wie Computerwürmer funktionieren.

Ein mit Malware infiziertes Gerät kann in diesem Szenario Teil eines Botnetzes werden und böswillige Befehle ausführen, ohne dass der Besitzer des Geräts davon erfährt.

Client/Server-DDoS-Botnetze

Bot-Herder verwenden Command-and-Control-Server (C&C- oder C2-Server) als Zwischenstationen, um die angeschlossenen Bots aus der Ferne und anonym zu steuern und zu kontrollieren. Um Anweisungen zu erhalten, stellt jeder Bot eine Verbindung zu einer Kommandozentrale her. Zu den üblichen Kommunikationsmedien zwischen Bot-Herdern und Botnetzen gehören HTTP-Websites, IRC-Protokolle, Social-Media-Plattformen usw.

Über einen zentralen Server (z. B. ein Gerät, das einem Bot-Herder gehört oder von ihm infiziert wurde) kann ein Angreifer leicht Anweisungen aktualisieren und neue Befehle erteilen. Außerdem können sie die Funktionen der einzelnen Bots ändern, um sie bei Bedarf an die Gegenmaßnahmen des Zielsystems anzupassen.

DDoS-Botnetze mit einem Primärserver können jedoch leicht ausgeschaltet werden, indem der Server abgeschaltet wird. Aufgrund dieser Schwachstelle entscheiden sich einige Hacker für ein Modell mit mehreren Schwachstellen.

Peer-to-Peer-DDoS-Botnetze

Botnetz-Server können miteinander kommunizieren und kooperieren, so dass ein einzelner oder mehrere Bot-Herder ein einziges Botnetz kontrollieren können. Dies wird als Peer-to-Peer (P2P)-Botnetz-Modell bezeichnet. Ohne einen zentralen Server haben P2P-Botnetze keinen zentralen Schwachpunkt, was die Erkennung und Bekämpfung erschwert.

Diese dezentralisierten Botnetze sind jedoch auch anfälliger für eine Kontrolle von außen, weshalb Hacker sie in der Regel verschlüsseln, um den Zugriff zu begrenzen.

Bekannte DDoS-Botnetze

Da die meisten Bot-Herder, die wissen, wie man ein DDoS-Botnetz aufbaut, anonym arbeiten, sind nicht viele von ihnen identifizierbar. Hier sind einige der am häufigsten verwendeten:

MrBlack

Das MrBlack-Botnetz und DDoS-Angriffe, die es nutzen, sind recht häufig. Es wird auch Trojan.Linux.Spike.A genannt, da es auf Linux-Betriebssysteme abzielt. In einigen Fällen hat es jedoch auch ältere Windows XP- und Windows 2003-Systeme angegriffen.

Es stellt eine Verbindung zu einem Remote-Server her, der Systeminformationen sendet, und empfängt Befehle von einem Bot-Herder, um einen DDoS- oder DoS-Angriff zu versuchen. Es lädt eine Befehlsdatei herunter, führt den Code aus und beendet den Prozess, sobald es die Kontrolle übernommen hat.

Mirai

Mirai, eines der berüchtigtsten DDoS-Botnetze, scannt IoT-Geräte, die auf ARC-Prozessoren in Linux laufen. Es zielt im Allgemeinen auf IoT-Geräte wie Router und IP-Kameras mit Standardpasswörtern ab.

Interessanterweise wurde die Mirai-Malware angeblich von drei Personen entwickelt: Dalton Norman, Paras Jha und Josiah White – zwei von ihnen sind Mitbegründer von Protraf Solutions, einem Unternehmen, das DDoS-Abwehrdienste anbietet.

Sie sollen DDoS-Angriffe auf Unternehmen durchgeführt haben, die das Mirai-Botnetz nutzten, und sie dann um kostenpflichtige Entschärfungslösungen gebeten haben.

Nitol/IMDDoS/Avzhan/ChinaZ

Diese Reihe von DDoS-Botnetzen entwickelt sich regelmäßig weiter und wird hauptsächlich in China gemeldet. Die Malware stellt über einen TCP-Socket eine Verbindung zu ihrem C&C-Server her, um die Informationen des Zielsystems an den Bot-Herder zu übertragen. Im Jahr 2015 entfielen auf das Botnetz fast 60% aller bekannten Botnetz-IPs.

Pushdo/Cutwail

Pushdo ist kein typisches DDoS-Botnetz, sondern eines, das hauptsächlich für Spamming verwendet wird. Cutwail wurde 2017 gegründet und greift Windows-Computer mit einer Trojaner-Komponente namens Pushdo an.

Mit schätzungsweise 2 Millionen Bots hat es über 300 Websites angegriffen, darunter das FBI, Twitter und Paypal. Es ist bekannt, dass diese Zombie-Armee insbesondere Computernutzer in Indien, Indonesien, der Türkei und Vietnam sowie in anderen Ländern angreift.

Cyclone

Das Cyclone-Botnetz mit verschleierten C&C-Details ist für DDoS-Angriffe wie HTTP-Floods und SlowLoris-Angriffe bekannt. Es kann andere aktive Bots auf dem angegriffenen Host eliminieren und Zugangsdaten zum File Transfer Protocol (FTP) auslesen.

Werden Sie nicht Teil eines DDoS-Botnetzes

Die Auswirkungen der verschiedenen Arten von DDoS-Angriffen sind schwerwiegend und manchmal irreversibel. Es ist nicht nur wichtig zu wissen, wie man einen DDoS-Angriff erkennt, sondern auch, wie man seine Geräte davor schützt, zu Bots zu werden.

Im Folgenden finden Sie einige Hinweise, wie Sie verhindern können, dass ein DDoS-Botnetz Ihre Geräte infiziert und ausnutzt.

Verwenden Sie sichere Passwörter

Ändern Sie immer die Standardpasswörter und Anmeldedaten eines neu gekauften Geräts. Die Erstellung sicherer Passwörter und deren regelmäßige Änderung verhindern Brute-Force-Angriffe, eine Hacking-Methode, bei der Passwörter durch Ausprobieren ermittelt werden.

Wenn ein Cyberangreifer versucht, IP-Adressen auf der Suche nach einem antwortenden Gerät zu scannen, wird er versuchen, die Passwörter aller Geräte zu knacken, die geantwortet haben. Mit einem schwachen oder voreingestellten Passwort ist Ihr Gerät leichter zu hacken und auszunutzen. Wenn das Passwort jedoch stark ist, werden die Angreifer aufgeben und nach anderen anfälligen Geräten suchen.

Führen Sie nur Code von vertrauenswürdigen Dritten aus

Wenn Sie ein Smartphone-Modell mit Software-Ausführung haben, funktionieren nur die erlaubten Anwendungen, und bösartige oder nicht vertrauenswürdige Anwendungen werden nicht zugelassen. Das Gleiche gilt für Botnetze. Hacker können Geräte nur dann ausnutzen, wenn die Überwachungssoftware kompromittiert ist.

Obwohl dies die IoT-Geräte sicherer macht, fehlt den meisten von ihnen diese Funktion.

Löschen Sie Ihr System und stellen Sie es in regelmäßigen Abständen wieder her

Regelmäßige Wiederherstellungen helfen Ihrem System, Junk-Anwendungen, Dateien und Botnetz-Malware zu beseitigen. Dies funktioniert sogar bei Anwendungen, die im Auftrag von Bot-Herdern verdeckt arbeiten und Informationen stehlen.

Verwenden Sie gute Filterpraktiken

Beginnen Sie mit der Filterung von Netzwerk-Routern und Firewalls, wenn Sie lernen wollen, wie man einen Botnetz-DDoS-Angriff stoppen kann. Layering ist der Schlüssel zu einer sicheren Netzwerkstruktur.

Es gibt keine Beschränkungen für öffentlich zugängliche Ressourcen, daher ist die Stärkung Ihrer Sicherheitsprotokolle unerlässlich.

Halten Sie Ihre Software auf dem neuesten Stand

Software wie Ihr Browser, Adobe Flash, Adobe Reader und Java sind besonders anfällig für Botnetze. Durch die Aktualisierung aller Softwareprogramme können 65% der Angriffe abgewehrt werden.

Deshalb sollten Sie Update-Benachrichtigungen niemals ignorieren. Im Internet gibt es mehrere kostenlose und kostenpflichtige Tools, die automatisch vertrauenswürdige Updates installieren.

Verwenden Sie Antiviren- und Antispyware-Programme

Kaufen und installieren Sie nur Antiviren- und Antispyware-Programme von renommierten Anbietern. Installieren Sie niemals kostenlose Antiviren-Software, da sie wahrscheinlich Malware enthält.

Wenn Sie bereits über diese Lösungen verfügen, halten Sie sie stets auf dem neuesten Stand, gepatcht und aktiviert. Manchmal werden sie von Bot-Malware deaktiviert, um unbemerkt zu bleiben.

Fazit

Sie sollten wissen, was ein DDoS-Angriff ist, um zu verstehen, wie DDoS-Botnetze funktionieren. Botnetze sind eine Gruppe von mit Malware infizierten Geräten, die Bots genannt werden. Zu den beliebtesten gehören Mirai, Pushdo, MrBlack und Nitol/IMDDoS/Avzhan/ChinaZ.

Sie können verhindern, dass Ihre Geräte zu Bots werden, indem Sie regelmäßig Passwörter zurücksetzen und Antiviren-, Antispyware- und Firewall-Software verwenden. Aktualisieren und patchen Sie diese Software regelmäßig, um neue Angriffsmethoden zu bekämpfen.

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind die drei wichtigsten E-Mail-Authentifizierungsprotokolle, die Mailservern und ESPs nachweisen,...

Read More
Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Der Austausch von E-Mails ist ein unverzichtbarer Bestandteil eines jeden modernen Unternehmens. Sie werden...

Read More
Sieben Beispiele für Spear-Phishing-Angriffe

Sieben Beispiele für Spear-Phishing-Angriffe

Das Jahr 2022 ist noch nicht vorbei, aber es wurden bereits über 255 Millionen...

Read More