Botnet DDoS – Definition + Schutz + Mieten | Cyberkrieg erklärt

Botnet DDoS Hacking Guide Tutorial Steffen Lippke
Botnet DDoS Hacking Guide Tutorial Steffen Lippke

Botnet-Cyberkrieg im 21. Jahrhundert?

Mit Botnets kämpfen Unternehmen, Regierung und Hacker gegeneinader.

Das Ziel ist Geld zu verdienen oder Konkurrenten zu verhindern.

Botnets bestehen aus hunderten Computern weltweit. Ein Botnet ist ein verteiltes System, um gezielt Opfer anzugreifen.

Wie Botnets funktionieren möchte ich Dir in diesem Post näherbringen.

Was sind Botnets?

Ein Botnet gleicht einer illegalen Armee von Söldnern im Mittelalter.

Krieg mit Waffen im Mittelalter

Die Funktionäre entführen starke junge Männer, um diese für Ihre kriegerischen Zwecke zu missbrauchen. Je mehr Männer die Funktionäre entführen, desto schlagkräftiger ist die Armee.

Der General legt das Ziel und den Zeitpunkt der Invasion fest und steuert seine Armee aus sicherer Distanz. Die Sölder-Armee versucht eine Stadt zu belagern und auszuhungern. Kein Bewohner soll mehr hinein oder herauskommen. Der Stadtrat soll auf die Forderungen des Gernals eingehen.

Realität des Cyberkriegs des 21. Jahrhunderts

In der IT-Welt sind die Funktionäre Computer-Viren und die jungen Männer Computer.

Die Armee ist das Botnet, das aus den Computern weltweit sich zusammensetzt. Der General gleicht dem Hacker, der festlegt, welche Server das Botnet mit einem DDoS-Angriff (Invasion) lahmlegen soll. Der Hacker (General) hält sich aus dem Angriff heraus und beobachtete das Geschehen aus der Ferne.

Das Botnet kämpft gegen Firewalls (Wall der Stadt) und Black-Holing an. Die Armee aus Computern versucht die Server lahm zu legen (Belagerung), sodass ein normaler Kunde der Server nicht erreichen kann. Große Shopping-Unternehmen, die unter einem akuten DDoS-Angriff stehen, können keine echten Verkaufs-Aufträge entgegennehmen und verlieren Geld.

Ziele von Botnets

Die Hacker verfolgen mit Botnets verschieden Zeile. Das Botnet …

  • … erzeugt eine Überlast am Ziel-Server, sodass nicht mehr erreichbar ist (Distributed Denial of Service, DDoS).
  • … sendet Spamnachrichten für z. B. Social Engineering Attacken oder Phishing.
  • … verbreitet Malware zur Spionage an den Opfer-Rechnern.
  • … verdienen Geld mit künstlichen Traffic mit Klicks auf die Werbung. Google Adsense zahlt pro Impressionen oder Klick einen Geldbetrag dem Hacker aus.
  • … werben für andere Webseiten im Auftrag von Dritten.
  • … betreiben ein riesiges Cryptominer, um Bitcoins zu schürfen.

Master-Slave Botnets

Bei Botnets kommunizieren Master und Slave über einen Internet Relay Chat (IRC für den Internet Chat). Alternativ kann der Client eine Verbindung zum Server mit einer Voll-Duplex-Kommunikation erstellen. HTTP-Botnets verständigen sich über den Port 80 (normales Web).

Peer-2-Peer Botnets

Neben Master-Slave-Botnets sind Peer-to-Peer Botnets verbreitet. Diese besitzen keine zentrale Kontrollstruktur. Jeder Knoten (Bot) kann Befehle erteilen und empfangen.

Schema für Botnets skizziert

Infrastruktur für DDoS-Angriffe

Ein Botnet braucht 3 Hardware-Komponenten:

01 Vorstellung Komponenten Botnet DDoS Angriff Steffen Lippke
01 Vorstellung Komponenten Botnet DDoS Angriff Steffen Lippke
  1. Zombie-Server: Ein veralteter und ungenutzter Server, der mit dem Internet verbunden ist und auf dem veraltetet Software installiert ist. Der Hacker muss z. B. FTP-Zugriff erlagen. Dieser muss nicht leistungsstark sein.
  2. Master-Computer stellt die Steuerzentrale des Hackers dar. Dort bereitet der Hacker den Angriff vor und plant seine Angriffsstrategie. Der Computer muss nicht leistungsstark sein.
  3. Slave-Computer: Die Slaves warten auf Befehle vom Zombie-Server. Je stärker jeder einzelne Rechner und die angebundene Internet-Leitung ist, desto intensiver ist der DDoS-Angriff.

Wege zur Verbreitung eines Bot-Virus

Der Hacker kann drei Wege gehen, um sein Botnet zu erstellen:

  1. Freeware: Der Hacker kann ein Freeware-Programm entwickeln, welches (alle) Anti-Viruse als „sicher“ einstufen.
    Je nach Fähigkeiten und Reputation kann der Hackers das Freeware-Programm vermarkten. Der Hacker entwickelt neben der sichtbaren Hauptfunktionalität z. B. eine Schreibsoftware die geheimen Backdoor-Exploit.
    Die Backdoor muss unentdeckt bleiben. Bei der Entwicklung muss er testen, ob statische oder dynamische Anti-Viren-Analyse-Verfahren seine Backdoor erkennen.
    CONTRA: Das Freeware-Programm ist zurückzuführen auf die Person. Der Hacker muss beweisen können, dass eine 3. Partei sein Freeware Programm mit einem Backdoor-Exploit gehackt hat.
  2. Exploit: Statt einen Exploit zu entwickeln, kann der Hacker einen finden. Sobald dieser eine Remote-Code-Execution-Backdoor in einem Standard-Windows-Programm wie dem Internet Explorer oder Office findet kann dieser die Lücke ausnutzen
    CONTRA: Einen solchen Exploit in bekannten Programmen zu finden, kann zeitaufwendig sein. Sobald der Hacker eine RCE-Lücke findet, ist sein Vorhaben erfolgversprechend. Der DDoS Angriff ist stärker, je mehr Installation das Standard-Programm hat.
  3. Mieten: Der Hacker kann Servern weltweit anmieten. Im Darknet handeln Kriminelle „schlafende“ Botnets, Server-Farmen und alte Zombie-Rechner. Einen Zugang zur Rechenleistung kauft sich der Hacker mit Bitcoins anonym ein.
    CONTRA: Das Vorhaben kann kostspielig sein. Manche Botnets mit 400.000 IoT-Geräten versteigern die Kriminellen im Internet. Regierung, Unternehmen und „reiche“ Hacker bieten viel Geld für solche Botnets. Ein BWLer rechnet:

(Erlöse aus Phishing / Ransomware) – Kosten für das Anmieten = Gewinn

02 Zombie Botnet DDoS Angriff Steffen Lippke
02 Zombie Botnet DDoS Angriff Steffen Lippke

Ablauf eines DDoS-Angriffs mit Botnet

Die Voraussetzung für einen erfolgreiches Botnet sind …

  • Genügend Rechner mit dem installierten Bot-Virus oder Exploit
  • einen Zombie-Rechner (steht bereit zum Abspeichern von Dateien)
  • ein Umzug auf eine einsame Insel (Falls der Hack misslingt)

Der Hacker könnte anhand folgender Schritte vorgehen:

  1. Der Hacker stattet die Slave-Rechner über die Remote-Code-Execution- Lücke mit einem Hintergrund-Service aus. Auf den Start-Befehl wartet der Services.
03 Verteilen Infos Botnet DDoS Angriff Steffen Lippke
03 Verteilen Infos Botnet DDoS Angriff Steffen Lippke
  • Der Master-Rechner speichert anonym die DDoS-Angriffs-Befehle auf dem Zombie-Rechner ab. Ein Befehl für eine DDoS-Attacke besteht aus …
    • Ziel (https://github.com)
    • Zeitpunkt (12.12.20XX 13:43)
    • Zeitraum (1h)
    • Payload („LoL“x 1×10^1000)
04 Warten Botnet DDoS Angriff Steffen Lippke
04 Warten Botnet DDoS Angriff Steffen Lippke
  • Hacker beseitigt seine Spuren und nutzen am besten ein VPN im Coffeeshop.
03 Verteilen Infos Botnet DDoS Angriff Steffen Lippke
03 Verteilen Infos Botnet DDoS Angriff Steffen Lippke
  • Die Hintergrund-Services der Salve-Rechner lesen den Befehl vom Zombie-Rechner ein. Nicht alle lesen den Befehl rechtzeitig, weil einige Nutzer die Slave-Rechner ausgeschaltet haben.
  • Alle aktiven Slave-Rechner senden 1.000.000.000.000. .. Nachrichten mit den Daten-Payload an den Ziel-Server zum genannten Zeitpunkt.
06 unter Angriff Botnet DDoS Angriff Steffen Lippke
06 unter Angriff Botnet DDoS Angriff Steffen Lippke
  • Die Slave-Rechner nutzen IP- und MAC-Spoofing, um den Ursprung der Nachricht zu verdecken.
07 Problem Unternehmen Botnet DDoS Angriff Steffen Lippke
07 Problem Unternehmen Botnet DDoS Angriff Steffen Lippke
  • Der Hacker bereit den nächsten Angriff vor.

Botnets for Sale: Historie der Botnets  im Darknet

In der Vergangenheit haben Behörden weltweit viele Botnets aufgedeckt. Ein paar Beispiele:

Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.