Botnets - die Hintertür ins Unternehmensnetz

Redwood City, Kalifornien / Wien (pts009/28.03.2012/09:05) - Botnets gehören zu den bedeutendsten Bedrohungen von Netzwerken, mit denen Unternehmen heute konfrontiert sind. Botnets können von ein paar Tausend bis zu weit über eine Million von Systemen gefährden und werden von Cyber-Kriminellen verwendet, um Computer zu übernehmen und illegale sowie zerstörerische Aktivitäten auszuführen, beispielsweise das Stehlen von Daten, unberechtigtes Zugreifen auf Netzressourcen, Einleiten von DoS-Angriffen (Denial of Service) oder das Verbreiten von Spam.

Es gibt keine statische Malware mehr: Botnets sind dynamisch und können auf Befehl des Cyber-Kriminellen schnell ihre Form ändern. Wenn man weiß, dass es Bot-Toolkits gibt, die online für nur 500 USD verkauft werden und deren Angriffe Unternehmen Millionen von Dollar kosten, bekommt man eine Vorstellung davon, welches Ausmaß die Problematik angenommen hat.

Auswirkung einer Bot-Infektion

Nach Schätzungen könnte ein Viertel der Personal Computer, die mit dem Internet verbunden sind, Teil eines Botnets sein. 2011 wurde berichtet, dass das TDL-Botnet über 4,5 Millionen Computer und etwa 100.000 einzelne Adressen pro Tag infiziert hatte. Zudem konstatierte die Branche, dass fast die Hälfte der IT-Sicherheitsexperten mit einem drastischen Anstieg von Malware-Angriffen konfrontiert war.

Diese Explosion hat ihren Ursprung in nur wenigen Schlüsselelementen:

Malware ist ein Big Business geworden

Cyber-Kriminelle sind keine isolierten Amateure mehr. Sie gehören gut strukturierten Organisationen an, die Geld, Motivation und Ziele haben. Sie können ein erhebliches Maß an Intelligenz, Zeit und Ressourcen einsetzen, um Botnets zu betreiben, die Unternehmen Millionen kosten.

Informationen sind zur Goldmine des Hackers geworden. Doch finanzielle Informationen sind nicht die einzigen wertvollen Daten, die es sich zu stehlen lohnt. Angreifer suchen immer mehr nach allgemeinen Kundeninformationen und weniger nach speziellen Fakturierungs- oder Kreditkartendaten. Solche Informationen können für Hacker lukrativ sein und sie in die Lage versetzen, künftige Angriffe oder Spam-Kampagnen besser abzustimmen und damit die Wahrscheinlichkeit ihres Erfolgs zu erhöhen. Man stelle sich vor, dass 500.000 Menschen eine E-Mail mit dem Angebot erhalten, ein bestimmtes Produkt zu kaufen. Wenn nur eine von 1.000 Personen dieses Produkt bestellt, sind das bereits 500 neue Bestellungen. Und nun rechne man, wie viel potenziellen Gewinn ein Spammer mit 70 Millionen E-Mail-Adressen machen kann.

Zunahme von ausgefeilten Bedrohungen

Unternehmen sind mit einem regelrechten "Zoo" von Malware-Arten konfrontiert, was mit einem breiten Spektrum von Sicherheitsbedrohungen verbunden ist, zu denen Viren, Würmer, Trojaner, Spyware, Adware und Botnets gehören. All diese Werkzeuge nutzen Cyber-Kriminelle für Advanced Persistent Threats (APT), bei denen Einzelpersonen oder Organisationen spezielle Ziele für Angriffe sind. Hinzu kommt, dass Botnets polymorpher Natur sind und normale Anwendungen und Verkehrsmuster nachahmen können, was es signaturbasierten Lösungen wie Antivirusprogrammen schwer macht, Botnets allein zu bekämpfen. Unternehmen brauchen einen mehrschichtigen Ansatz, um die Bot-Bedrohung effizient abzuwehren.

Zahlreiche Angriffsvektoren

Es gibt viele Zugangspunkte, um bestehende Abwehrmechanismen von Organisationen zu unterlaufen, darunter Browser-basierte Schwachstellen, Mobiltelefone, bösartige Anhänge und Wechseldatenträger, um nur einige zu nennen. Die Explosion von Web-2.0-Anwendungen und die Nutzung von sozialen Netzwerken als geschäftliche Hilfsmittel bieten Hackern zudem eine gute Gelegenheit, Opfer dazu zu verleiten, auf bösartige Links oder "Malvertising" (bösartige Werbung, die auf legalen Websites läuft), zu klicken.

Historische Betrachtung von Botnets

Der erste Bot, "GMBot", war nicht bösartig. Er wurde Ende der 1980er Jahre geschaffen, um eine lebende Person in IRC-Sitzungen (Internet Relay Chat) zu emulieren. Etwa 1999 kamen Bots auf, die mit böswilligen Absichten konzipiert wurden. Danach wurden Bots immer ausgeklügelter und in einigen Fällen als kommerzielle Produkte angeboten. Der Bot Zeus aus dem Jahr 2006 wurde beispielsweise ursprünglich für nur einige Tausend Dollar verkauft. Mitte 2011 entstanden beim Quellcode für die Botnet-Kits Zeus und SpyEye Lecks, so dass diese leistungsfähigen Botnet-Erzeuger praktisch jedem zur Verfügung standen, der sein eigenes Botnet aufbauen wollte.

Die heutigen Botnets werden in erster Linie als Hintertür zum Unternehmen genutzt. Einmal eingedrungen, operieren die Hacker lautlos und bleiben unterhalb des Radars, um so viele Informationen wie möglich zu stehlen, bevor ihre Anwesenheit entdeckt wird. Da Bots so verstohlen sind, bemerken viele Unternehmen unglücklicherweise nicht, dass ihre Computer infiziert sind. Den Sicherheitsteams mangelt es oft am richtigen Einblick in die Bedrohungen, die Botnets schaffen.

Künftige Bedrohung

Botnets werden sich weiterentwickeln und dabei eine Kombination aus Social Engineering, Zero-Day-Exploits sowie der Verbreitung von mobilem Computing und sozialem Networking nutzen.

In der Vergangenheit ging man davon aus, dass die meisten der verbreiteten Botnets auf Windows-Rechnern liefen, doch das stimmt heute nicht mehr. Auch Linux- und Mac-Systeme sind nicht immun. Neue Botnet-Varianten arbeiten plattformübergreifend, die Branche sollte sich darauf einstellen, dass mehr Apple- und Android-basierte oder andere mobile Botnets auftauchen, wenn über 3G oder WLANs eine Kommunikation mit Command-and-Control-Servern (C&C) stattfindet.

Ein Trend bei der Verbreitung ist die Nutzung sozialer Netzwerke als Command-and-Control-Server. Soziale Netze und webbasierte Dienste wie IM werden genutzt, um Anweisungen an bösartige Programme zu senden, die in Opfernetzen installiert sind und Hackern die Möglichkeit eröffnen, verschlüsselte Befehle zu senden. Die Nutzung von sozialen Netzen wie Twitter kann Cyber-Kriminelle in die Lage versetzen, schnell einen Shop einzurichten und ihn geschwind wieder zu schließen, ohne die Kosten für die Verwaltung eines ganzen Servers tragen zu müssen.

Nutzung von Techniken des Social Engineering

Kommt hinzu, dass Hacker neue, auf Social Engineering basierende Techniken nutzen, um die Botnet-Aktivität voranzutreiben. Soziale Netze haben es zudem leichter gemacht, an persönliche und berufliche Informationen über Personen zu kommen und neue Zugangspunkte zu schaffen, um Angriffe auf der Basis von Social Engineering, Botnets und APTs auszuführen. Untersuchungen von Check Point haben ergeben, dass die primäre Motivation für Social-Engineering-Attacken finanzieller Art ist, gefolgt vom Zugang zu geschützten Informationen, Wettbewerbsvorteilen sowie Rache, und dass diese Angriffe Unternehmen einen Betrag von USD 25.000 bis 100.000 pro Zwischenfall kosten können.

Heutzutage können Hacker sich mühelos die Tools und Ressourcen beschaffen, die für das erfolgreiche Ausführen von Botnet-Angriffen benötigt werden. Unglücklicherweise handelt es sich um ein Katz-und-Maus-Spiel. Jedes Mal, wenn neue Antivirussoftware eine neue Dateisignatur veröffentlicht, schreiben Malware-Autoren neue Varianten der Malware. Glücklicherweise nehmen Strafverfolgungsbehörden, große Konzerne und Sicherheitsexperten das allmählich ernst und stoppen Bots wie "Rustock". Wenn C&C-Server außer Gefecht gesetzt werden, verlieren die Bot-Master die Kontrolle über die Zombie-Computer, und eine Ausbreitung der Infektion wird verhindert. Während Tausende von Unternehmen bereits Ziele von Bots und APTs waren, tragen sie die Verantwortung dafür, ihre Verbreitung zu stoppen.

Aussender: Check Point Software Technologies (Austria) GmbH
Ansprechpartner: Christian Fahlke
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +41 79 662 55 67
Website: www.checkpoint.com

Quelle: www.pressetext.com/news/20120328009