Was ist ein Botnet? | Erkennung und Abwehr von Botnet-Angriffen

Was ist ein Botnet?

Ein Botnet besteht aus einer Vielzahl internetfähiger Geräte, wie z. B. Smartphones oder IoT-Geräte, von denen jedes einen oder mehrere Bots ausführt. Die Verantwortlichen eines Botnet können mithilfe von C&C-Software (Command and Control) eine Reihe – für gewöhnlich schädlicher – Aktionen durchführen, die groß angelegte Automatisierung erfordern. Diese umfassen:

  • DDoS-Angriffe (Distributed Denial of Service), die unerwartete Anwendungsausfälle verursachen
  • Überprüfung gestohlener Anmeldedaten (Credential Stuffing) zur Übernahme von Konten
  • Angriffe auf Webanwendungen, um Daten zu stehlen
  • Zugriffsgewährung für Gerät und Verbindung des Angreifers
Immer häufiger werden Botnets von Cyberkriminellen für verschiedenste Zwecke vermietet – nur einer der Gründe, aus denen sie für jedes mit dem Internet verbundene Unternehmen eine Bedrohung darstellen. Denn das bedeutet, dass Angreifer nicht länger über das Fachwissen verfügen müssen, eigene Botnets aufzubauen. Stattdessen können sie für ihre Angriffe bereits verfügbare Botnets einsetzen.

Aus wie vielen Bots besteht ein Botnet?

Die Anzahl der Bots unterscheidet sich von Botnet zu Botnet. Sie hängt vom Talent des Botnet-Entwicklers ab, ungeschützte Geräte zu infizieren. Beispiele:

Das Mirai-Botnet

Als das Mirai-Botnet im September 2016 entdeckt wurde, war Akamai eines der ersten Ziele. Unsere Plattform war kontinuierlichen Angriffen des Mirai-Botnet ausgesetzt, konnte diese jedoch erfolgreich abwehren. Die Forschungsergebnisse von Akamai deuten stark darauf hin, dass Mirai, ebenso wie andere Botnets, nun zur Kommerzialisierung von DDoS beitragen. Während viele C&C-Nodes dedizierte Angriffe auf ausgewählte IPs durchführten, waren sogar noch mehr Nodes an sogenannten „Pay-for-Play“-Attacken beteiligt. Dabei griffen die Mirai-C&C-Nodes IPs kurzzeitig an, wurden inaktiv und tauchten anschließend wieder auf, um andere Ziele zu attackieren. Hier erfahren Sie mehr über das Mirai-Botnet.

Die PBot-Malware

Die DDoS-Malware „PBot“ trat erneut auf den Plan und bildete die Grundlage der stärksten DDoS-Angriffe, die Akamai im 2. Quartal 2017 verzeichnete. Im Fall von PBot nutzten Cyberkriminelle einen Jahrzehnte alten PHP-Code, um einen riesigen DDoS-Angriff zu generieren. Den Angreifern gelang es dabei, ein kleines DDoS-Botnet zu erstellen, das einen DDoS-Angriff mit 75 Gigabit pro Sekunde (Gbit/s) durchführte. Obwohl das PBot-Botnet mit 400 Nodes relativ klein war, konnte es dennoch eine erhebliche Menge an Angriffstraffic generieren. Hier erfahren Sie mehr über die PBot-Malware.

Schutz vor Botnets

Nutzer müssen wissen, dass ein Botnet eine Sammlung internetfähiger Geräte darstellt, die sich unter der Kontrolle des Botnet-Entwicklers befinden. Deshalb können Botnets für eine Reihe verschiedener Angriffe genutzt werden, die unterschiedliche Schutzmaßnahmen erfordern. Akamai bietet verschiedene Cloud Security Solutions zur Erkennung und Abwehr von Botnet-Attacken. Diese umfassen: