Zum "Zombie" wird der eigene Rechner zunächst durch Injektion. Sie nutzt alle Wege, die die Malware kennt: Fremde Datenträger, Anhänge an E-Mails, Infusionen (Injektions) beim Aufruf von Webseiten - als Beigabe zu aktiven Funktionen - und die direkte Manipulation eines Handwerkers. Im zweiten Schritt muss sie sich einnisten (Infektion)

Gegen die Methoden des Social Engineering, die uns zu übertöpeln versuchen (persönliche Kontakte, E-Mail-Anhänge, Website-Injection), hilft die Vorsicht in Kombination mit Firewalls und Virenscannern, die auch gegen die aktive Malware wirken (z.B. IP-Würmer, Vorsichtsmaßnahmen).

Die Methoden, fremde Rechner steuern zu wollen, entstammen offenbar verschiedenen Quellen.

 
ZDNet.de sieht ihren technischen Ursprung zu Recht im Internet Relay Chat - IRC ( siehe den folgenden Textcontainer). Dort ging es aber um sehr harte Methoden, um Zugangsbeschränkungen zu umgehen. Die aktuelle Botnetz-Software ist feinsinniger (5) und dürfte wegen ihrer Steuerungsfunktionen ihre Heimat eher in den gewerblichen Strategien zur Softwareverteilung und im zentralen IT-Management haben ( ITIL).

Mit der Botsteuerung "Zunker" lassen sich zum Beispiel alle infiltrierten Systeme wegen ihrer Erreichbarkeit und Leistungsmerkmale überwachen, steuern und für Aktionen koordinieren (6). Diese Funktionsvielfalt ist sonst nur aus der Fernwartung für zentral verwaltete Computernetzwerke bekannt.

Botnetze: Angriff der unerkannten Computerzombies

... Der Ursprung der Botnetze liegt in der Internet Relay Chat (IRC)-Szene und klingt wie ein Märchen. Einst wurden dort Nutzer, die gegen die Regeln verstießen, hinausgeworfen - eine virtuelle Vertreibung aus dem Paradies. Einige von ihnen wollten sich rächen und entwickelten Wege, um die IRC-Server oder Kanäle zu schädigen. Dies war vor allem deswegen so einfach, weil IRC ein sehr offenes Protokoll ist, das ähnlich wie SMTP (Send Mail Transfer Protocol), leicht missbraucht werden kann. Im Laufe der Zeit entwickelten sich kleine Programme, die nun auch Server angreifen konnten, die nichts mit IRC zu tun hatten - die ersten Denial-of-Service-Attacken. Noch heute nutzen viele Hacker den IRC-Kanal als Kommunikationsstrang, über den sie ihre Botnetze kontrollieren.
 

Um ein Botnetz zu bauen, muss das entsprechende Programm erst einmal auf den Nutzerrechner gelangen. Meisten werden dafür Sicherheitslücken in Windows oder Server-Systemen ausgenutzt. Viren oder Würmer dringen durch diese Schlupflöcher auf den Rechnern ein und hinterlassen tief im System eine kleine .exe-Datei, die sich selbst fortpflanzt und durch eine Hintertür Kontakt mit ihrem "Herren" aufnimmt. Das tut sie, indem sie sich auf einen bestimmten IRC-Channel einwählt und dort still und leise auf Befehle wartet. Der Nutzer bekommt davon im Idealfall nichts mit. ...

Auszug aus Nicola D. Schmidt, Botnetze: Angriff der unerkannten Computerzombies, ZDNet.de 26.08.2005

 
Die ersten Schritte für die Infiltration unternimmt die Bot-Software selbsttätig. Sie wirkt so, wie es auch von anderen Würmern und Trojanern bekannt ist, nistet sich ein, manipuliert die Sicherheitseinstellungen sowie die Firewall und tarnt sich vor der Entdeckung durch Viren- und anderen Malwarescannern ( Datenveränderung, Computersabotage, Superwürmer, Malware).

Anschließend prüft sie, ob der filtrierte Rechner eine Verbindung zum Internet hat und meldet sich dann bei der Botnetz-Steuerung als bereit.

Die zentrale Steuerung sollte keinen direkten Hinweis auf den Angreifer geben. Deshalb befindet sie sich in aller Regel auf einem gehackten IRC-Server (Internet Relay Chat, siehe oben und Rub Thomas (5) ).
 

Der Angreifer kann das infiltrierte System missbrauchen wie ein erfolgreicher Hacker. Alle Systemfunktionen, Dokumente und ungesicherte Informationen stehen ihm offen.

Eine übliche Strategie besteht darin, das System als Konsole für die Botnetzverwaltung einzurichten und hiermit die übrigen Zombies zu verwalten und zu steuern. Bei einer Analyse des Botnetzes kann dann nur der infiltrierte Rechner festgestellt werden, nicht aber die Herkunft des Angreifers.
 

 
Für die Steuerung des Botnetzes muss zumindest ein zentraler Server eingerichtet werden. Seine wichtigste Eigenschaft ist die, dass er eine kontinuierliche Verbindung zum Internet haben muss, also kein Gelegenheitsnutzer ist. Hierzu eignen sich am besten Webserver, die als Hostserver Internetauftritte präsentieren. Beliebte Standorte für missbrauchte Systeme sind in den USA und in Asien. Mit der zunehmenden Verbreitung dedizierter Server und ihrer häufig unzureichenden Sicherung dürften besonders diese Systeme zum Missbrauch reizen.

Die zentrale Steuerung kann für verschiedene Zwecke eingesetzt werden. Die gebräuchlichsten sind:
- Kontaktstelle für infiltrierte Botrechner
- Ablagestelle für ausspionierte Kontodaten ( Phishing)
- Depot für Programmupdates
- Hostplattform für "Pharmen"
 

 
Aktuelle Botnetze haben keine zentrale Steuerung, sondern verfügen über eine Zwischenschicht aus Proxyservern (J. Schmidt, (7) ).

Bei ihnen wird zwischen dem zentralen IRC-Server, dem "Mutterschiff", und den infizierten Zombies ein "Fast-Flux-Netz" installiert, das aus Proxyservern besteht, von denen jeder ein Teil der Zombies steuert und verwaltet.

Hierzu bekommen die Zombies bereits mehrere Internetadressen (IP) einprogrammiert, an die sie ihre Bereitschaft melden. Wird der erste Kontakt herstellt, können sie mit neuen Instruktionen versehen werden. Fällt ein Proxy aus, so können seine Aufgaben von einem anderen wahrgenommen werden.

Das "Mutterschiff" versteckt sich hinter den Proxies und kann vom Zombie aus nicht lokalisiert werden. Erst wenn die "Abwehr" einen der Proxies überwachen kann, kann sie dessen Steuerung und somit das "Mutterschiff" erkennen.
 

 
Die infiltrierten Rechner melden ihre "Bereitschaft" an die einprogrammierte IP-Adresse des "Mutterschiffes" oder den zwischengeschalteten Proxyserver.

Während die Dateien, die für die Infiltration erforderlich sind, so klein gehalten werden können, wie sie für den Angriff nötig sind, können jetzt neue Versionen (Updates), Erweiterungen und Einsatzziele übermittelt und installiert werden.
 

Über diese perfide Strategie verfügen erst neuere Würmer und Trojaner. Sie zeigt das erhebliche Wissen, die konsequente Planung und die gewissenlose Durchführung, die mit den modernen Angriffen mit den Methoden der Cybercrime verbunden sind. Die kriminelle Energie, mit der die Botnetz-Betreiber agieren, steht der der Phisher in nichts nach.
 

 
Die Einsatzmöglichkeiten von Botnetzen sind vielfältig.

Ein Einsatzgebiet ist sicherlich die Durchführung von verteilten Angriffen - Distributed Denial of Service - DDoS. Hierbei richten viele koordinierte Rechner immer wieder dieselben Kontaktanfragen an einen ausgewählten Server, der diese Menge irgendwann nicht mehr bewältigen kann und seinen Betrieb einstellt. Viele namhafte Internetdienste sind bereits das Opfer solcher Angriffe geworden (8).
 

Allein mit der Drohung der Täter, sie könnten gegen einen gewerblichen Internetdienst einen DDoS-Angriff durchführen, lässt sich Geld verdienen. Solche Ansinnen sind seit Jahren bekannt und man nennt sie auch Erpressung (9) ( § 253 StGB, siehe auch besonders schwere Computersabotage).

Die Folgen eines DDoS-Angriffs können aber auch ganz unbeabsichtigt aufgrund eines unvorhergesehenen Interesses der Internet-Öffentlichkeit eintreten, wie eBay schmerzlich erfahren hat (10).
 

 
Das werbende Spamming und das Phishing (11) sind erst dadurch möglich geworden, dass E-Mails massenhaft an eine Vielzahl von Empfängern versandt werden und nur eine verschwindende Zahl erfolgreich bleibt (12).

Schon der "normale" Versand von Spam-Mails ist kostengünstig. Noch billiger wird er, wenn gehackte Server oder Botnetze zum Einsatz kommen (siehe Spiegel-Meldung in Anmerkung (9) ).
 

 
Botnetze sind darauf angelegt, größer und größer zu werden. Die größten Masseneffekte lassen sich entweder durch die Versendung von Spam-Mails mit Malware-Anhängen erreichn (siehe oben) oder indem man die Malware Adressbereiche im Internet auf Endgeräte mit Sicherheitslücken scannen lässt.

Gemeint ist die Technik der IP-Würmer, die im Internet kaum beschrieben oder diskutiert wird (13). Sie arbeiten automatisch und suchen systematisch vorgegebene Adressen nach dem Internetprotokoll nach Rechnern ab, die sie übernehmen können.
 

Im Fall ihres Erfolgs übertragen sie eine Basisversion von sich auf den Zielrechner, die sich wie die Software von Botnetzen (siehe oben) einnistet, aktualisiert und erweitert.

Dazu müssen sie eine Sicherheitslücke ausnutzen, die der Programmierer exklusiv nutzt oder die erst kurzfristig bekannt ist, so dass erwartet werden kann, dass sie noch nicht von allen Anwendern geschlossen wurde ( Updates von Betriebssystemen und Virensoftware). Bevorzugt werden dazu Fehler in Programmen, die massenhaft im Einsatz sind, weil sie die größten Erfolgsaussichten bieten (z.B. Betriebssysteme und Büroanwendungen).
 

 
Jedes einzelne Gerät im Botnetz lässt sich auch individuell steuern. Der Angreifer kann die Steuerungssoftware so einrichten, dass sie den Internetverkehr eines Rechners besonders wegen Homebanking-Aktivitäten überwacht (im Beispiel A). Ein anderes infiziertes Gerät kann er dann dazu verwenden, als Übertragungsstation (im Beispiel Man in the Middle - MitM) zum Kommunikationspartner (im Beispiel B) zu wirken. Dabei kann er die komplette Kommunikation überwachen und im passenden Moment für einen Missbrauch unterbrechen (siehe Beispiel im Zusammenhang mit dem Phishing).
 

Botnetze lasse sich für jede Gelegenheit einsetzen, bei denen es entweder darauf ankommt, als Angreifer unerkannt zu bleiben, oder für Missbräuche, die große Rechnerkapazitäten erfordern. Somit kommen auch Peer-to-Peer-Netze, die Verteilung und Speicherung von Dateien ( Computercluster) oder die verteilte Nutzung von Rechenleistung ( verteiltes Rechnen, Distributed Computing) in Betracht.

Der (auch kranken) Phantasie sind bekanntlich keine Grenzen gesetzt.
 

 
Der Betrieb von Botnetzen ist neben der Herstellung von Malware im übrigen und dem Phishing die gefährlichste Erscheinungsform der Cybercrime. Ihre Betreiber verfügen über ein erhebliches Wissen und eine kaum zu überbietende Böswilligkeit.

Botnetze lassen sich zu Allem verwenden, was entweder zur Tarnung von Aktivitäten dient oder große Rechenleistungen erfordert. Die häufigste Anwendungsfälle sind der Versand von Spam-Mails und die Durchführung von verteilten Angriffen.

Botnetze benutzen dieselbe Injektionstechniken, die auch von der Malware im übrigen benutzt werden, also bevorzugt in Form von Anhängen zu Spam-Mails, durch Website-Injection ( Cross-Site Scripting) oder als IP-Würmer.
 

Wie alle anderen Formen der Cybercrime kennen die Betreiber von Botnetzen keine nationalstaatlichen Grenzen, wodurch ihre Verfolgung wenn nicht ausgeschlossen, so doch ganz erheblich erschwert wird.

Über eine internationale Zusammenarbeit der Strafverfolgungsbehörden ist nichts bekannt. Nur private Initiativen haben bisher ein journalistisches Echo erfahren (siehe Anmerkung (7) ).

Der Wert der Botnetze für billige kriminelle Aktionen wird dafür sorgen, dass sie bleiben, sich allen aktuellen Änderunger der Technik und des Nutzerverhaltens anpassen und weiter verbessert werden.

Das sind keine guten Aussichten.
 

 
(1) siehe Rob Thomas, Anmerkung (5).
Wegen der aktuellen Preise im Oktober 2007 siehe Spam-Discounter.

(2) Sturm-Wurm-Botnetz mit über 1,7 Millionen Drohnen, Heise online 18.08.2007
Tom Fischer, Botnets, RUS-Cert - Uni Stuttgart 14.03.2005
BSI, Bot-Netze, BSI 2007

(3)  Symantec-Umfrage: Bots und Botnetze kaum bekannt, Heise Security 15.06.2007

(4) Schädliche E-Mails bauen riesige Botnetze auf, Chip online 23.08.2007
Gegenwärtig sollen drei wirklich große Botnetze im Betrieb sein:
Krieg der Würmer, Heise online 14.05.2007
Die Größenangaben zu den Botnetzen sind mit Vorsicht zu genießen, weil sie auf Übertreibungen der kriminellen Botnetz-Betreiber beruhen können. Sie sind zudem Schwankungen unterworfen, wie eine fast schon lustige Meldung bei Heise online zeigt:
Weihnachten ließ Botnetze schrumpfen, Heise online 28.12.2006

 
(5) Nicola D. Schmidt, Botnetze: Angriff der unerkannten Computerzombies, ZDNet.de 26.08.2005
Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006 ( Technische Kenntnisse unnötig)
"Ihr PC als Komplize": Piraten-Software gezielt bekämpfen, Heise online 06.01.2007

technische Details:
Rob Thomas, Was sind Bots und Botnetze? RUS-Cert 2003
siehe auch Anmerkung (2).

(6) "Zunker", das Administrator-Tool für Bot-Netze, IT-Defender.com 15.05.2007
Zunker Bot, PandaLabs Blog 08.05.2007 Screenshot, ebd.)

(7) Jürgen Schmidt, Hydra der Moderne. Die neuen Tricks der Spammer und Phisher, c't 18/2007, S. 76

leitendes Thema im September 2007
 

(8) BSI, Denial-of-Service-Attacken, BSI 2007
Matthias Bernauer, Leonard Rau, Netzwerkangriffe durch DDoS-Attacken, Uni Freiburg 27.01.2006
Mailserver ächzen unter Spam-Last, Heise online 25.05.2007
täglich 250.000 neue Zombies

(9) Beispiele:
Belohnung für Hinweise zu DDoS-Attacken, Heise online 12.07.2007
Patrick Brauch, Geld oder Netz! Kriminelle erpressen Online-Wettbüros mit DDoS-Attacken, c't 14/2004, S. 48
Frank Ziemann, Erpressungen mit DDoS-Angriffen nehmen zu, PC-Welt 20.05.2005
50 Jahre Haft für den PC-Kidnapper? spiegel.de 04.11.2005

(10) BR, "Papst-Golf" wird zum Streitwagen, br-online.de 06.05.2005
 

(11) siehe Spammer-Szene
Spammer und Phisher rüsten auf, Heise online 18.08.2007
E-Mails: 90 Prozent sind Spam, Heise online 13.05.2007
Viren- und Botnet-Aktivitäten haben zugenommen, itseccity.de 18.04.2007
Das Dreckige Dutzend: Die zwölf aktivsten Länder beim Spam-Versand Stratio-Wurm sorgt für Anstieg bei weltweitem Spam-Aufkommen, Sophos 06.11.2006

(12) Kalkuliert werden die Spams wohl üblicherweise mit einer Erfolgsquote von 0,1 %;
siehe Alfred Krüger, Angriffe aus dem Netz. Die neue Szene des digitalen Verbrechens, Heise Verlag 2006, S. 66 f.
Bestellung bei .

(13) Peter Schill, Die neuen Herausforderungen der Content Security. Netzwerkfilter auf Applikationse, eSafe Januar 2004,
benenennt etwas versteckt drei Beispiele auf Seite 24 der Präsentation: CODERED, SLAMMER, BLASTER.