Enzyklopädie über Botnetze

Books digital Bibliothek

Beitrag teilen

Im Kampf gegen Cyberkriminalität ist es für Unternehmen sinnvoll, sich mit den Maschen der Cyberkriminellen auszukennen, wie Botnetze. Dazu gehört unter anderem auch, zu wissen, was ein Botnetz ist – und das möchte Guardicore nun mit einer Botnetz-Enzyklopädie erreichen. Die Informationen dieser Wissensdatenbank sollen fortlaufend aktualisiert werden, sodass aktuelle und vergangene Botnet-Kampagnen bestens dokumentiert werden.

Botnet – infiziert, gekapert und missbraucht

Botnet und Botnetz sind zwei synonym verwendete Begriffe für denselben Vorgang: Ein Botnet besteht aus einem Netz gekaperter Rechner. Die Besitzer*innen dieser gekaperten Computer ahnen in der Regel nichts davon. Zunächst wird der Zielrechner, der ins Botnet eingebunden werden soll, mit Malware infiziert. Dank dieser Schadsoftware kann der Angreifer die Kontrolle über das System übernehmen – der Rechner reagiert also roboterartig, deshalb „Bot“.

Anzeige

Gekaperte Rechner lassen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern. Die Angreifer selbst, die Kontrolle über Botnetze ausüben, bezeichnet man als Bot-Herder oder –Master. Tatsächlich ist die Übernahme eines Rechners zu einem Teil des Botnets Resultat eines schlecht gesicherten Computers: Der Angreifer kann dann die Rolle des Administrators übernehmen. Daten lassen sich dann einsehen, missbrauchen und manipulieren, außerdem kann der Rechner mit allen seiner Funktionen und Leistungen zu kriminellen Zwecken missbraucht werden.

Auch Mobilgeräte wie Smartphones oder Tablets sind gefährdet

Somit werden die Anwender*innen gekaperter Rechner ungewollt zu einem Teil dieser kriminellen Aktivitäten. Die ferngesteuerten Computer werden für unterschiedliche Aktivitäten verwendet: Spamming, fürs Speichern illegaler Dateien, fürs Verteilen von Schadsoftware oder auch für DDoS-Attacken.

Es sind im Übrigen nicht nur Rechner gefährdet, Teil von Botnetzen zu werden, sondern jedes vernetzte Gerät mit einem Zugang zum Internet. Hier verweisen wir insbesondere auf IoT-Geräte, die in aller Regel sehr weit vom Schutzniveau gängiger Computer entfernt sind. Aber auch Mobilgeräte wie Smartphones oder Tablets können gekapert und Botnets hinzugefügt werden.

Botnetze: Tipps & Schutzmaßnahmen

Aufgrund der immensen und immer weiter steigenden Verbreitung vernetzter Geräte ist die Wahrscheinlichkeit hoch, dass auch die Gefahr der Verbreitung von Botnetzen steigend ist. Wie Sie lesen konnten, können Geräte wie Rechner oder Smartphones durch Sicherheitslücken in Software übernommen werden oder aber durch unaufmerksame bzw. zu wenig wissende Nutzer. Das bedeutet in der Schlussfolgerung, dass eine Kombination aus Awareness sowie technischen Maßnahmen die Wahrscheinlichkeit senkt, ungewollt zum Teil eines Botnets zu werden. Auf der technischen Seite stehen diese Maßnahmen:

  • Updates: Führen Sie auf all Ihren Geräten Updates immer zeitnah aus; idealerweise automatisieren Sie das Ausführen von Updates, sodass möglichst wenig offene Sicherheitslücken in der Software klaffen.
  • Firewall: Die Firewall schützt ein Netzwerk vor unerwünschten Zugriffen von außen. Meist ist die Firewall im Router integriert und schützt netzwerkweit.
    AV-Software: Nutzen Sie eine immer aktuell zu haltende Antiviren-Software. Entscheiden Sie sich für eine professionelle Anti-Malware-Lösung mit signatur- und verhaltensbasierter Schadsoftware-Erkennung.
  • Monitoring: Überprüfen Sie Systeme und Netzwerkverkehr in regelmäßigen Intervallen, um etwaige Infektionen schnellstmöglich aufzudecken. Verdächtige Aktivitäten wie die folgenden können Anzeichen dafür sein, dass das Gerät zu einem Botnetz gehört:
    • Ungewöhnlich hohe Internet- und Netzwerkbelastungen
    • Extrem erhöhtes Aufkommen ausgehender E-Mails
    • Deutlich verzögerter E-Mail-Versand, deutlich verzögerte Rechenleistung
    • Massives Scannen eines oder mehrerer Ports von außen
    • Beschwerden von Dritten über Spam-Mails, die vom eigenen E-Mail-Server ausgegangen sein sollen

Es ist sinnvoll für Unternehmen, grundsätzlich gegen DDoS-Attacken und Spamming geschützt zu sein. Weiter ist es günstig – sowohl für Privatpersonen als auch für Unternehmen – die eingesetzten IoT-Geräte unter die Lupe zu nehmen. Anti-Malware-Lösungen, die lokal auf dem jeweiligen IoT-Gerät gespeichert werden, existieren kaum. Also muss dafür eine Lösung her, die in der Lage ist, Schadsoftware zu erkennen, bevor sie auf dem Gerät ankommen kann, und die darüber hinaus Schwachstellen von außen abschirmt. Hier böte sich beispielsweise Virtual Patching an: Mittels Web Application Firewall (WAF) lässt sich regeln, wer wie auf die entsprechende Applikation zugreifen darf; es werden also die zu schützenden Applikationen gegen ungewollte und/ oder bösartige Zugriffe abgeschirmt. Grundsätzlich gilt jedoch, dass Patching – also das Flicken von Schwachstellen – besser ist als Virtual Patching – das Aussperren unbefugter Dritter anstelle des Flickens einer Schwachstelle.

Enzyklopädie über Botnetze von Guardicore

Guardicore ist ein israelisches Unternehmen für Rechenzentrums- sowie Cloud-Sicherheit. Die hauseigene Botnet Encyclopedia soll Bedrohungen für Unternehmen an einen zentralen und frei zugänglichen Ort zusammenfassen. Basis dieser Botnet-Enzyklopädie bildet das Guardicore Global Sensors Network; ein Netzwerk von Erkennungssensoren, die weltweit in Rechenzentren und Cloudumgebungen eingesetzt werden.

Diese Sensoren können Angriffsströme nicht nur vollständig erfassen, sondern sie auch auswerten. All dieses Wissen fließt in die Botnet-Enzyklopädie ein, die von IT-Abteilungen, Sicherheitsteams, Forschern oder der Cybersecurity-Community zum besseren Verständnis und Schutz der Bedrohungen genutzt werden kann. Interessierte können Botnets per Freitextsuche finden oder die Einträge über Kompromittierungsindikatoren (IoC, Indicators of Compromise) durchsuchen; beispielsweise nach IP-Adresse, Dateiname oder Service-Bezeichnung.

Mehr dazu bei im Blog der PSW-Group.de

 

Passende Artikel zum Thema

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen

Cloud-Datenschutzstrategien für Gesundheitsdienstleister

Die Digitalisierung im Gesundheitswesen nimmt stetig zu. Im gleichen Ausmaß nimmt die Gefahr von Cyberattacken zu. Der Schutz sensibler Daten ➡ Weiterlesen

API-Angriffe: Diese Bereiche sind gefährdet

In vielen Unternehmen fehlt ein Monitoring über schadhafte Strukturen oder Dritt-Anbieter-APIs. Das macht APIs besonders vulnerabel und zum Ziel für ➡ Weiterlesen

CPS: Angriffe auf vernetzte Geräte sind teuer und zeitintensiv 

Jeder dritte Angriff auf cyber-physische Systeme in Deutschland verursacht Kosten von mehr als 1 Million US-Dollar, das zeigt der Report ➡ Weiterlesen