Im Kampf gegen Botnetze

Viele Gefahren lauern in den Weiten des Internets und sowohl die IT-Titel als auch die Massenmedien werden nicht müde, darüber zu berichten, welche neuen Security-Bedrohungen täglich auftauchen. Immer wieder wird dabei auch über die sogenannten Botnetze (Botnets) berichtet - eine Technik, die nach einhelliger Meinung der Experten schon mehr als zehn Jahre IT-Infrastrukturen in der ganzen Welt bedroht und deren Gefährdungspotenzial immer noch zunimmt.

Aktuell war es Mitte März eine Meldung der Microsoft Digital Crimes Unit (DCU), die dieses brisante Thema einmal mehr deutlich ins Bewusstsein rief: Diese Einheit, die nach Aussagen des Softwareherstellers aus einem weltweit tätigem Team aus Ermittlern, technischen Analysten, Juristen und weiteren Spezialisten besteht, meldete in einem offiziellen Microsoft Blog, dass es gelungen sei, ein Botnetz mit dem Namen Rustock erfolgreich außer Gefecht zu setzen.

Bot-Netze
Wie das Cloud-Computing für Böse grundsätzlich arbeitet: Diese Skizze der Microsoft Digital Crime Unit (DCU) zeigt das Grundprinzip, bei dem ein Netzwerk von infizierten Computern von einem Angreifer kontrolliert und gesteuert wird. (Quelle: Microsoft)

Bot-Netze
Baukasten für Botnetze erhöhten auch 2010 die Gefahr: Ein Ergebnis einer Untersuchung der amerikanischen Firma Damballa, die sich auf die Bekämpfung von Botnetzen spezialisiert hat. In dieser Statistik von 2010 ist es beispielsweise „SpyEye“, mit dessen Hilfe auch Angreifer ohne Programmierkenntnisse ein solches Netz „bauen“ können. (Quelle: Damballa Inc.)

Bot-Netze
Die unterschiedlichen Botnetz-Architekturen: Bei Botnetzen mit einem Steuerungsrechner (Command & Control Server – CC) spricht man von einer zentralisierten Topologie des Botnetzes. (Quelle: Symantec)

Bot-Netze
Die aufwändigerer Botnetz-Architektur: Hier kommen die bekannten Techniken der P2P-Netze (Peer-to-Peer – P2P) zum Einsatz, um eine dezentralisierte Topologie zu ermöglichen. (Quelle: Kaspersky Labs)

Bot-Netze
Online-Service als Alternative: Auch Microsoft stellte eine Zeit lang einen Online-Dienst zur Verfügung, der die Anwender unter anderem vor den Gefahren der Botnetze schützen sollte. Dieser wird aber nicht mehr fortgeführt, der Hersteller rät nun zum Einsatz der „Microsoft Security Essentials“ direkt auf den Endsystemen.

Bot-Netze
Der „Ernstfall“ kann durch Schutzsoftware festgestellt werden: Viele Hersteller von Antiviren-Lösungen stellen kostenlose Programme zur Verfügung, die feststellen können, ob sich auf einem Windows-System ein Bot befindet.

Bot-Netze
Beeindruckende und erschreckende Zahlen: Allein 2009 identifizierte die Firma Symantec 17.432 neue Botnet-Command-and-Control-Server, ein Anstieg gegenüber 15.197 im Jahr 2008. Von diesen wurden 31 Prozent über IRC-Channels und 69 Prozent über HTTP gesteuert (Quelle: Symantec Global Security Threat Report, Volume XV)

Bot-Netze
Deutschland ist an der Spitze mit dabei: In Deutschland hat Symantec 2009 durchschnittlich 1.856 aktive Bots pro Tag erfasst. Dabei wurden im gesamten Beobachtungszeitraum wurden in Deutschland insgesamt 456.203 verschiedene Computer verzeichnet, die mit Bot-Programmen infiziert waren (Quelle: Symantec Global Security Threat Report, Volume XV)

Sicherheit vor Botnetzen in der "idealen IT"

Im Rahmen der diesjährigen CeBIT haben wir eine Reihe von Gesprächen mit den Experten der großen Sicherheitsfirmen geführt, um ihre Einschätzung dieser Gefahrenlage zu bekommen. Diese Fachleute waren sich einig, dass es durch den Einsatz aktueller Techniken wie VDI-Umgebungen oder Terminal-Server-Anwendungen, auf die das Client-System per RDP-Session quasi "nur sehend" zugreift, in einer "idealen IT-Infrastruktur" durchaus möglich sei, einen sehr weit gehenden Schutz vor dieser Art von Gefahren zu realisieren. Durch diese Fokussierung der Sicherheitsbemühungen auf die Maschinen im Rechenzentrum ist es dann auch ein Leichtes, Konfigurationen so aufzubauen, dass nur bestimmte, ausgewählte Programme ausgeführt werden dürfen. Ein Terminal-Server, der beispielsweise nur Office-Applikationen bereitstellt und über keine direkte Zugriffsmöglichkeit auf das Internet verfügt, ist weitaus leichter abzusichern als eine große Anzahl von Client-Computern. Auch das Cloud Computing mit der Speicherung von Daten auf großen Internet-Servern besitzt durchaus das Potential, eine bessere Absicherung gegenüber Botnetzen zu bieten.

Doch leider werden die meisten IT-Verantwortlichen und Administratoren in der Realität doch eher mit einer "gewöhnlichen IT-Infrastruktur" und ihren Problemen konfrontiert werden. Deshalb haben wir die Experten nach entsprechenden Schutzmaßnahmen und "Best Practices" gefragt, die Anwendern und Unternehmen helfen können, den Gefahren der Botnetze zu begegnen.

Gheg
Verbreitungsgebiet: Spanien, Indonesien, Indien<br /> infizierte Rechner: 8.000-12.000<br /> versendete Spam-Mails pro Tag: 49,8 Millionen<br /> Anteil am gesamten Spam-Aufkommen: 0,1 Prozent <br /><br /> (alle Angaben Stand Oktober 2010, Quelle: MessageLabs Intelligence 2010 Annual Report)

Xarvester
Verbreitungsgebiet: Italien, Großbritannien, Polen<br /> infizierte Rechner: 17.000 - 25.000<br /> versendete Spam-Mails pro Tag: 501 Millionen<br /> Anteil am gesamten Spam-Aufkommen: 0,5 Prozent

Cimbot
Verbreitungsgebiet: Italien, Spanien, Frankreich<br /> infizierte Rechner: 32.000 - 48.000<br /> versendete Spam-Mails pro Tag: 1,9 Milliarden<br /> Anteil am gesamten Spam-Aufkommen: 2,1 Prozent

Grum
Verbreitungsgebiet: Russland, Indien, Vietnam<br /> infizierte Rechner: 310.000 - 470.000<br /> versendete Spam-Mails pro Tag: 7,9 Milliarden<br /> Anteil am gesamten Spam-Aufkommen: 8,5 Prozent<br /><br /> Foto: Greenpeace

Sonstige Botnets
infizierte Rechner: 710.000 - 1,08 Millionen<br /> versendete Spam-Mails pro Tag: 29,4 Milliarden<br /> Anteil am gesamten Spam-Aufkommen: 3,4 Prozent

Gesamt
infizierte Rechner: 3,5 - 5,4 Millionen<br /> versendete Spam-Mails pro Tag: 71,1 Milliarden<br /> Anteil am gesamten Spam-Aufkommen: 77 Prozent<br /><br /> Tägliche Anzahl von Spam-Mails, die nicht von Botnet-Rechnern aus versendet werden: 21,8 Milliarden

Tipps für Administratoren: Wie können sie ihre Systeme schützen?

Es ist schon schlimm genug für einen einzelnen Anwender, wenn er beispielsweise durch seine Security-Software darauf hingewiesen wird (Bild), dass sich auf seinem Rechner bereits ein solcher Bot befindet. Doch für Administratoren, die in Firmennetzwerken für sehr viele Client- und Server-Systeme zuständig sind, kann dieses Problem noch ganz andere Dimensionen erreichen. Phillip Wolf, Director Protection Labs bei Avira, erläutert dazu, dass für ein Firmennetz grundsätzlich andere Regeln gelten als für Privatrechner: Firmen tragen auch juristisch eine größere Verantwortung, so dass sie sich möglicherweise auch als "Mitstörer" strafbar machen könnten, wenn sie Sicherheitsmaßnahmen vernachlässigen. Was also sollen Administratoren und IT-Verantwortliche tun? Wolf rät zu folgender Vorgehensweise:

• Administratoren müssen regelmäßig den Netzwerkverkehr überprüfen: Verbinden sich mehrere Rechner aus dem eigenen Netz auf einen eigentlich unbekannten beziehungsweise unwichtigen Server, so lohnt sich möglicherweise eine genauere Analyse des Traffics mit Hilfe von Netzwerk-Sniffer oder eine Untersuchung der betroffenen Rechner aufs Schädlingsbefall.

Candid Wüest, Senior Threat Researcher bei Symantec Security Response, ergänzt diese Vorschläge weiter:

• Die modernen Command- und Control-Server (C&C, C2) lassen sich meistens über ganz normale HTTP-Anfragen erreichen. Deshalb funktioniert diese Kommunikation auch durch eine herkömmliche Firmen-Firewall. Aus diesem Grund ist der Einsatz der aktuellsten Sicherheitssoftware eine unbedingte Pflicht.

• Alarme und Events an den Firewalls sollten auf jeden Fall regelmäßig ausgewertet werden, denn nur so kann ein Administrator ungewöhnliche Vorfälle auch bemerken und entsprechend reagieren.

Da nicht nur Botnetze über die üblicherweise freigegebenen Ports kommunizieren, sollten auch die folgenden Anregungen mit in Betracht gezogen werden, um eine höhere Sicherheitsstufe zu erreichen:

• Administratoren sollten in ihre Überlegungen eine Erneuerung der Firewall-Installation im Unternehmen mit einbeziehen. Moderne Firewall-Lösungen sind ab einer gewissen Ausbaustufe dazu in der Lage, den Netzwerkverkehr auf Anomalien und maligne Programme hin zu prüfen.

• Der Einsatz einer kostenfreien Fernwartungslösung über das Internet bietet sicher viele Vorteile: Problemlos kann in wenigen Minuten der Zugriff auf einen Unternehmens-PC bewerkstelligt werden. Administratoren müssen sich aber bewusst sein, dass auf diese Weise auch schnell weitere unerwünschte Datenverbindungen zustande kommen können!

Weitere Tipps für alle IT-Verantwortlichen und Administratoren, die sich mit dem Thema Sicherheit und Botnetze befassen, kommen von Juraj Malcho, Chief Research Officer bei Eset:

• Neben den bereits erwähnten technischen Maßnahmen dürfen die Aufstellung und das Einhalten grundsätzlicher Sicherheitsrichtlinien nicht außer Acht gelassen werden.

• Bot-Programme müssen zunächst einmal in das Netzwerk und auf die Rechner der Anwender gelangen. Dies geschieht sehr häufig über die gängigen Mechanismen zur Verteilung von Malware.

• Aus diesem Grund sollten "der menschliche Faktor" und die Schulung der Anwender immer wichtige Teile der Sicherheitskette im Unternehmen sein.

Best Practices: Der Kampf im Firmennetz

Aufbauend auf diese Tipps und Anmerkungen der Sicherheitsexperten können die für die IT-Sicherheit verantwortlichen Anwender, Administratoren und RZ-Leiter nun entsprechende "Best Practice"-Konzepte für ihre Systeme und Netzwerke entwickeln:

• Nur ein mehrstufiges Konzept, bei dem alle potenziellen Einfallstore durch entsprechende Anti-Malware-Lösungen geschützt werden, kann wirkungsvoll gegen die Bedrohung durch die Botnetze helfen.

• Deshalb gehört es zu den bewährten Ansätzen, dass beginnend von den Gateway- und Proxy-Lösungen am Rand des Netzwerks über die Datei- und Storage-Server bis hin zu den Client-Systemen der Anwender, alle Systeme mit aktuellen Schutzprogrammen ausgestattet sind.

• Eine weitere Verbreitung dieser Gefahr kann dann nur durch entsprechende Mitarbeit der Endanwender vermieden werden. Sie müssen sich klar werden, dass ein gedankenloser Umgang mit dem Internet viele Gefahren birgt und eben auch den Botnetzen Tür und Tor öffnet.

• Die Nutzer müssen dazu auch erweiterte Schutzfunktionen wie Browser- und Identitätsschutz sowie neue proaktive Technologien einführen und verwenden.

• Der Umgang mit Social Networks muss ebenfalls überdacht werden.

• Ein weiterer kritischer Punkt ist die gängige Praxis, ein Passwort für alle Internet-Anwendungen zu verwenden, egal ob es sich um den Facebook-Account oder das Bankkonto handelt - auf diese Weise kommen schnell unerwünschte Schadprogramme auf die Rechner.

Aber auch auf der technischen Seite können Administratoren noch zusätzliche Schutzmaßnahmen ergreifen:

• So können sie mit Hilfe sogenannter Blacklists Verbindungen zu bekannten C&C-Servern blockieren.

• Mit einem gut konfigurierten Intrusion-Detection-System (IDS) sowie durch sogenannte Honeypots können sie zudem der unentdeckten Verbreitung dieser Gefahren im Netzwerk entgegenwirken.

Was sind eigentlich Botnetze? Definition und Expertenmeinungen

Was die Definition eines Botnetzes angeht, sind sich die Experten weitgehend einig: Toralv Dirra, als Security Strategist bei den McAfee Labs tätig, fasst es so zusammen: "Ein Botnetz besteht aus mehreren mit Malware infizierten Systemen, sogenannten Zombies, auf denen die Malware sich mit zentralen Command & Control Servern (C&C, C2) verbindet, um von diesen Anweisungen abzuholen." Stefan Ortloff, Virus Analyst bei Kaspersky Lab, bestätigt diese Definition und ergänzt, dass diese Botnetze von den Kriminellen sowohl zum Versand von Spam als auch zum direkten Diebstahl beispielsweise von Daten für das Online-Banking oder anderer Zugangsdaten sowie für sogenannte DDoS-Attacken (Distributed Denial of Service) auf Firmen-Server zum Einsatz kommen - eine Einschätzung, die von allen der von uns befragten Experten einhellig bestätigt wurde.

Die Experten von Kaspersky wiesen zusätzlich darauf hin, dass hier in der Praxis zwei unterschiedliche Architekturen zu finden sind, die eine grundsätzlich unterschiedliche Topologie verwenden: Während die zentralisierten Botnetze (siehe Bild) wie beschrieben mit einem C&C-Rechner arbeiten, der mit allen Bots verbunden ist, verwenden dezentrale Lösungen die Techniken der Peer-to-Peer-Netzwerke (P2P), so dass sich die infizierten Rechner nicht mit dem Steuerungsrechner sondern untereinander verbinden (Bild unten). Damit sind solche Netze natürlich auch weitaus schwerer zu neutralisieren.

Worauf sich Anwender und Administratoren vorbereiten sollten

Zusammenfassend warnt Rolf Haas, Principal Security Engineer bei McAfee, davor, die Gefährlichkeit dieser "Cloud-Technik für böse Zwecke " zu unterschätzen: Er sieht einen Trend zu immer strukturierteren Angriffen über Botnetze. Die Attacken werden dabei so zielgerichtet auf bestimmte Branchen oder auch Firmen ausgerichtet, dass sie oft in der breiten Öffentlichkeit überhaupt nicht bekannt werden, was ihre Gefährlichkeit noch vergrößert.

Große Einigkeit herrschte bei den befragten Security-Experten auch hinsichtlich des Fortbestands dieser Bedrohung: Einhellig vertraten sie den Standpunkt, dass die Botnetze eine Bedrohung darstellen, die noch längere Zeit akut bleiben wird. Auf die Frage nach der nächsten großen Gefahr, die durch Botnetze drohe, nannten alle Fachleute den Bereich Smartphones.

Da die Anzahl der Smartphone-Nutzer auch im Umfeld der professionellen IT schnell steigt, werden in sehr naher Zukunft vermehrt Bots für mobile Telefone und Tablets auftauchen. Der Mobile-Security-Analyst Vicente Diaz von Kaspersky Labs warnte, dass Angreifer auf den Smartphones sogar noch einen weitaus umfangreicheren Zugriff auf persönliche Daten erlangen könnten, als dies auf traditionellen Systemen der Fall ist. Auch unser Gesprächspartner von Symantec war sich sicher, dass auf diesen Plattformen bald Botnetze auftauchen werden, die ähnliche Attacken wie auf klassische Computer vollziehen können. In Kombination mit der wachsenden Nutzung sozialer Netzwerke könne die Gefahr durch die Botnetze weiter steigen. (wh)