Botnet erklärt – So funktioniert DDoS Angriff mit Definition (2023)

Botnet-Cyberkrieg im 21. Jahrhundert?

Mit Botnets kämpfen Unternehmen, Regierung und Hacker gegeneinader.

Das Ziel ist Geld zu verdienen oder Konkurrenten zu verhindern.

Botnets bestehen aus hunderten Computern weltweit. Ein Botnet ist ein verteiltes System, um gezielt Opfer anzugreifen.

Wie Botnets funktionieren möchte ich Dir in diesem Post näherbringen.

Was sind Botnets?

Ein Botnet gleicht einer illegalen Armee von Söldnern im Mittelalter.

Krieg mit Waffen im Mittelalter

Die Funktionäre entführen starke junge Männer, um diese für Ihre kriegerischen Zwecke zu missbrauchen. Je mehr Männer die Funktionäre entführen, desto schlagkräftiger ist die Armee.

Der General legt das Ziel und den Zeitpunkt der Invasion fest und steuert seine Armee aus sicherer Distanz. Die Sölder-Armee versucht eine Stadt zu belagern und auszuhungern. Kein Bewohner soll mehr hinein oder herauskommen. Der Stadtrat soll auf die Forderungen des Gernals eingehen.

Realität des Cyberkriegs des 21. Jahrhunderts

In der IT-Welt sind die Funktionäre Computer-Viren und die jungen Männer Computer.

Die Armee ist das Botnet, das aus den Computern weltweit sich zusammensetzt. Der General gleicht dem Hacker, der festlegt, welche Server das Botnet mit einem DDoS-Angriff (Invasion) lahmlegen soll. Der Hacker (General) hält sich aus dem Angriff heraus und beobachtete das Geschehen aus der Ferne.

Das Botnet kämpft gegen Firewalls (Wall der Stadt) und Black-Holing an. Die Armee aus Computern versucht die Server lahm zu legen (Belagerung), sodass ein normaler Kunde der Server nicht erreichen kann. Große Shopping-Unternehmen, die unter einem akuten DDoS-Angriff stehen, können keine echten Verkaufs-Aufträge entgegennehmen und verlieren Geld.

Ziele von Botnets

Die Hacker verfolgen mit Botnets verschieden Zeile. Das Botnet …

• … erzeugt eine Überlast am Ziel-Server, sodass nicht mehr erreichbar ist (Distributed Denial of Service, DDoS).
• … sendet Spamnachrichten für z. B. Social Engineering Attacken oder Phishing.
• … verbreitet Malware zur Spionage an den Opfer-Rechnern.
• … verdienen Geld mit künstlichen Traffic mit Klicks auf die Werbung. Google Adsense zahlt pro Impressionen oder Klick einen Geldbetrag dem Hacker aus.
• … werben für andere Webseiten im Auftrag von Dritten.
• … betreiben ein riesiges Cryptominer, um Bitcoins zu schürfen.

Master-Slave Botnets

Bei Botnets kommunizieren Master und Slave über einen Internet Relay Chat (IRC für den Internet Chat). Alternativ kann der Client eine Verbindung zum Server mit einer Voll-Duplex-Kommunikation erstellen. HTTP-Botnets verständigen sich über den Port 80 (normales Web).

Peer-2-Peer Botnets

Neben Master-Slave-Botnets sind Peer-to-Peer Botnets verbreitet. Diese besitzen keine zentrale Kontrollstruktur. Jeder Knoten (Bot) kann Befehle erteilen und empfangen.

Schema für Botnets skizziert

Infrastruktur für DDoS-Angriffe

Ein Botnet braucht 3 Hardware-Komponenten:

1. Zombie-Server: Ein veralteter und ungenutzter Server, der mit dem Internet verbunden ist und auf dem veraltetet Software installiert ist. Der Hacker muss z. B. FTP-Zugriff erlagen. Dieser muss nicht leistungsstark sein.
2. Master-Computer stellt die Steuerzentrale des Hackers dar. Dort bereitet der Hacker den Angriff vor und plant seine Angriffsstrategie. Der Computer muss nicht leistungsstark sein.
3. Slave-Computer: Die Slaves warten auf Befehle vom Zombie-Server. Je stärker jeder einzelne Rechner und die angebundene Internet-Leitung ist, desto intensiver ist der DDoS-Angriff.

Wege zur Verbreitung eines Bot-Virus

Der Hacker kann drei Wege gehen, um sein Botnet zu erstellen:

1. Freeware: Der Hacker kann ein Freeware-Programm entwickeln, welches (alle) Anti-Viruse als „sicher“ einstufen.
   Je nach Fähigkeiten und Reputation kann der Hackers das Freeware-Programm vermarkten. Der Hacker entwickelt neben der sichtbaren Hauptfunktionalität z. B. eine Schreibsoftware die geheimen Backdoor-Exploit.
   Die Backdoor muss unentdeckt bleiben. Bei der Entwicklung muss er testen, ob statische oder dynamische Anti-Viren-Analyse-Verfahren seine Backdoor erkennen.
   CONTRA: Das Freeware-Programm ist zurückzuführen auf die Person. Der Hacker muss beweisen können, dass eine 3. Partei sein Freeware Programm mit einem Backdoor-Exploit gehackt hat.
2. Exploit: Statt einen Exploit zu entwickeln, kann der Hacker einen finden. Sobald dieser eine Remote-Code-Execution-Backdoor in einem Standard-Windows-Programm wie dem Internet Explorer oder Office findet kann dieser die Lücke ausnutzen
   CONTRA: Einen solchen Exploit in bekannten Programmen zu finden, kann zeitaufwendig sein. Sobald der Hacker eine RCE-Lücke findet, ist sein Vorhaben erfolgversprechend. Der DDoS Angriff ist stärker, je mehr Installation das Standard-Programm hat.
3. Mieten: Der Hacker kann Servern weltweit anmieten. Im Darknet handeln Kriminelle „schlafende“ Botnets, Server-Farmen und alte Zombie-Rechner. Einen Zugang zur Rechenleistung kauft sich der Hacker mit Bitcoins anonym ein.
   CONTRA: Das Vorhaben kann kostspielig sein. Manche Botnets mit 400.000 IoT-Geräten versteigern die Kriminellen im Internet. Regierung, Unternehmen und „reiche“ Hacker bieten viel Geld für solche Botnets. Ein BWLer rechnet:

(Erlöse aus Phishing / Ransomware) – Kosten für das Anmieten = Gewinn

Ablauf eines DDoS-Angriffs mit Botnet

Die Voraussetzung für einen erfolgreiches Botnet sind …

• Genügend Rechner mit dem installierten Bot-Virus oder Exploit
• einen Zombie-Rechner (steht bereit zum Abspeichern von Dateien)
• ein Umzug auf eine einsame Insel (Falls der Hack misslingt)

Der Hacker könnte anhand folgender Schritte vorgehen:

1. Der Hacker stattet die Slave-Rechner über die Remote-Code-Execution- Lücke mit einem Hintergrund-Service aus. Auf den Start-Befehl wartet der Services.

• Der Master-Rechner speichert anonym die DDoS-Angriffs-Befehle auf dem Zombie-Rechner ab. Ein Befehl für eine DDoS-Attacke besteht aus …
  • Ziel (https://github.com)
  • Zeitpunkt (12.12.20XX 13:43)
  • Zeitraum (1h)
  • Payload („LoL“x 1×10^1000)

• Hacker beseitigt seine Spuren und nutzen am besten ein VPN im Coffeeshop.

• Die Hintergrund-Services der Salve-Rechner lesen den Befehl vom Zombie-Rechner ein. Nicht alle lesen den Befehl rechtzeitig, weil einige Nutzer die Slave-Rechner ausgeschaltet haben.
• Alle aktiven Slave-Rechner senden 1.000.000.000.000. .. Nachrichten mit den Daten-Payload an den Ziel-Server zum genannten Zeitpunkt.

• Die Slave-Rechner nutzen IP- und MAC-Spoofing, um den Ursprung der Nachricht zu verdecken.

• Der Hacker bereit den nächsten Angriff vor.

Botnets for Sale: Historie der Botnets  im Darknet

In der Vergangenheit haben Behörden weltweit viele Botnets aufgedeckt. Ein paar Beispiele:

• Mirai-Botnet mit 400.000 IoT-Geräte waren in 2016 zu vermieten https://www.inside-it.ch/articles/45795
• 11.000 Bots in 90 Ländern entdeckte das BKA und BSI in 2014 https://web.archive.org/web/20160215205434/http://www.bka.de/DE/Presse/Pressemitteilungen/Presse2014/141230__ZerschlagungBotnet.html?__nnn=true
• Mariposa infiziert mit dem Butterfly-Toolkit über Instant Messaging (Lücke im Internet Explorer) 13 Millionen Rechner in 190 Ländern. Das Botnet nutzten die Hacker als Spamverteiler in 2009
• Downadup nutzt eine Remote-Code-Execution-Lücke mit 9 Millionen Bots in Oktober 2008