Digitale Schläfer: Bot-Armeen erpressen Unternehmen

27.09.2007
Von Arne Arnold
Auf tausenden PCs warten gefährliche Tools auf das Kommando für das Bombardement auf Firmen-Server mit korrupten Anfragen. Kriminelle versuchen so, Unternehmen um ihr Geld zu bringen.

Kriminelle haben ein neues und sehr lukratives Ziel für sich entdeckt. Sie erpressen kleine und große Firmen, die im Internet präsent sind, um hohe Geldsummen. Das funktioniert teilweise sehr viel einfacher als bei üblichen Schutzgelderpressungen. Denn die Gangster müssen gar nicht selbst in Erscheinung treten und können anonym weltweit von jedem beliebigen Ort aus zuschlagen – zu jedem Zeitpunkt ohne weitere Vorwarnung. Als Druckmittel dient ihnen dabei eine Armee von Bot-Rechnern, die spielend fast jeden Server lahm legen können. Die erpressten Firmen können sich gegen die Attacken kaum wehren. Wir erklären den technischen Hintergrund und zeigen, wie die Abzocke abläuft.

Botnets: Die schlafende Gefahr

In Branchen, in denen das ganze Geschäftsmodell von der IT abhängig ist, können die Downtime-Kosten schnell sehr hoch werden. So schätzt Contingency Research beispielsweise für Online-Shops die Ausfallkosten auf über 100.000 Dollar pro Stunde, für ein Bankrechenzentrum auf 2,5 Millionen und für das Online-Broking gar auf 6,5 Millionen Dollar. Zuerst gerieten Online-Wettbüros ins Visier von Kriminellen. Die Gauner forderten von den Site-Betreibern bis zu 60.000 Euro, damit die Web-Seiten auch weiterhin erreichbar sind. Die Wettbüros wendeten sich an die Polizei und investierten bis zu 150.000 Euro in Sicherheitstechnik. Derart hohe Investitionen waren durchaus angebracht, denn die befürchteten Attacken gehen von Bot-Netzwerken aus – kurz Botnets genannt. Diese Netze bestehen aus mehreren tausend Rechnern von Privatleuten, auf denen die Gangster heimlich schädlichen Code eingeschleust haben. Die PCs lassen sich vom Programmierer des Codes über einen zentralen Server im Internet fernsteuern. Bis es soweit ist, verhalten sich die befallenen Rechner fast gänzlich unauffällig. Die Besitzer der Rechner haben dabei keine Ahnung, dass ihr PC teil einer Angriffsarmada ist.

Ist eine erpresste Firma nicht bereit, zu zahlen, starten die Kriminellen einen Denial-of-Service-Angriff (DoS-Angriff) über ihr Bot-Netzwerk. Dabei stellen die Bot-PCs korrupte Anfragen an den Server der Firma. Verbreitet ist das Syn-Flooding. Normalerweise wird die Kommunikationssitzung zwischen PC (Client) und Server in drei Schritten aufgebaut: Der Client sendet "SYN", der Server antwortet mit "SYN-ACK" und der Client bestätigt das mit "ACK". Beim Syn-Flooding schickt der Client das "ACK" nicht ab, die Verbindung ist also halb geöffnet. Da es auf einem Server nur eine beschränkte Anzahl halb offener Verbindungen geben kann, sind der Rechner und damit auch die darauf laufende Website nicht mehr für normale Anfragen erreichbar.

Erpressung und Aktienbetrug: Neue Kriminalität im Netz

Verbreitete Bot-Schädlinge: Laut der Sicherheitsfirma Symantec stieg die Zahl der Varianten des Schädlings Spybot (roter Balken) innerhalb eines Jahres am stärksten
Verbreitete Bot-Schädlinge: Laut der Sicherheitsfirma Symantec stieg die Zahl der Varianten des Schädlings Spybot (roter Balken) innerhalb eines Jahres am stärksten

Die Sicherheitsfirma Message Labs berichtet von einer Studie, laut der 17 von 100 befragten US-Unternehmen bereits mit erpresserischen DoS-Angriffen bedroht wurden. Experten schätzen, dass hinter den Erpressungsversuchen meist das organisierte Verbrechen steht, das mehr und mehr auch im Internet tätig wird. Das Know-how für die Angriffe holen sich die Verbrecher von Hackern, die ihrerseits feststellen, dass es sehr lukrativ ist, ein Bot-Netzwerk aufzubauen und zu vermieten.

Wer weiß, wie sich der Kurs einer Aktie entwickelt, kann richtig viel Geld verdienen. Dabei ist es fast egal, ob der Kurs steigt oder fällt. Hauptsache, er bewegt sich in die von den Kriminellen gewünschte Richtung. Für fallende Kurse lässt sich wiederum mit DoS-Angriffen sorgen. Das dafür nötige Bot-Netzwerk kann jeder anmieten, der einen entsprechenden Preis bezahlt. Ist ein Unternehmen aufgrund eines Angriffs nicht über das Internet erreichbar, wird die Aktie sehr wahrscheinlich fallen. Bekannt wurde ein Fall mit umgekehrtem Vorzeichen. Kriminelle verschickten eine Pressemitteilung, die angeblich von der Firma Concorde America stammte. Darin wurde die Expansion des Unternehmens angekündigt. Innerhalb kurzer Zeit verdoppelte sich der Wert der Aktie.

Privatanwender dürfen sich nicht sicher fühlen

Ziel der Angriffe von Bot-Armeen sind zwar Firmen, doch betrifft das Thema auch die Privatanwender. Denn auf ihren Rechnern versteckt sich der gefährliche Code und bezieht den Anwender in ein kriminelles Vorgehen ein. Zudem wird während des Angriffs die Internet-Verbindung stark beansprucht. Schnellen Schutz vor den gefährlichen Bot-Programmen bringen eine Antiviren-Software und eine Firewall.

Aufbau und Funktionsweise eines Botnets

Der Begriff Bots ist abgeleitet vom Wort "Roboter". Denn die befallenen Rechner lassen sich vom Programmierer des Codes fernsteuern wie eine Armee von Robotern. Mehrere hundert bis einige tausend Bot-Rechner zusammen bilden ein Bot-Netzwerk. In Fachkreisen wird gelegentlich auch der Begriff Zombie für einen Bot-Rechner verwendet.

1. Verbreitung

An erster Stelle kommt die Verbreitung des schädlichen Codes. Am häufigsten geschieht das wie bei einem Internet-Wurm, der sich per Mail verbreitet. Auf einem infizierten Rechner sucht er nach weiteren Mailadressen und verschickt sich an diese über ein mitgebrachtes Mailprogramm weiter. Auch Trojaner werden oft für den Aufbau eines Botnets eingesetzt. Sie verbreiten sich etwa über Sicherheitslücken in Windows.

2. Besetzung

Will ein Programmierer ein Bot-Netzwerk aufbauen, passt er oft bestehende Würmer oder Trojaner an seine Bedürfnisse an. Typisch für solch einen angepassten Code ist, dass er nur wenige Schadensroutinen auf dem befallenen System ausführt. Dazu zählt der Versuch, Antiviren-Tools und Firewall-Programme lautlos zu umgehen. In der Regel löscht der Code aber keine Anwenderdateien und spioniert auch keine Daten aus. Er versucht vielmehr, sich versteckt zu halten, damit der Besitzer des PCs nicht misstrauisch wird.

Nur wenn eine Internet-Verbindung besteht, meldet sich der befallene Rechner bei einem Server an und wartet im Hintergrund auf Kommandos von seinem Programmierer. In der Regel läuft das über einen IRC-Server (Internet Relay Chat).

3. Angriff

Ein schlagkräftiges Botnet besteht aus fünf bis 10.000 Rechnern mit einer schnellen Verbindung ans Internet. Haben sich die einzelnen Rechner am IRC-Server angemeldet, kann der Programmier von dort aus die Art und den Zeitpunkt für die Attacke festlegen. Häufig werden die Botnets für DoS-Attacken (Denial of Service) genutzt. Dabei senden sie manipulierte Anfragen an Internet-Server, womit diese für gewöhnliche Aufgaben blockiert sind. Eine gut konfigurierte Firewall kann DoS-Attacken zwar abwehren, doch der Angriff läuft ja nicht nur von einem PC, sondern von vielen tausend Rechnern aus. Die Abwehr ist somit wesentlich schwieriger. Bei DoS-Attacken, die von Botnets ausgehen, spricht man auch von DDoS-Angriffen (Distributed Denial of Service). (PC-Welt /sh)