Enisa
ENISA Threat Landscape Report zu Botnetzen
Der ENISA Threat Landscape Report zu Botnetzen bietet eine detaillierte Analyse der Bedrohungen durch Botnetze und deren Entwicklung zwischen Januar 2019 und April 2020. Ein Botnetz ist ein Netzwerk von Geräten, die durch Schadsoftware (Malware) infiziert wurden, um koordiniert von einem bösartigen Akteur gesteuert zu werden. Diese Netzwerke werden hauptsächlich für Distributed Denial of Service (DDoS)-Angriffe verwendet, können aber auch für eine Vielzahl anderer krimineller Aktivitäten wie Identitätsdiebstahl, Spionage, Erpressung, Kryptowährungs-Mining und Betrug eingesetzt werden.
Definition und Funktionsweise von Botnetzen
Botnetze bestehen aus infizierten Geräten, auch „Zombies“ genannt, die durch Malware kompromittiert wurden und von einem „Botmaster“ über ein Command-and-Control (C2)-System gesteuert werden. Der Botmaster kann diese infizierten Geräte für verschiedene Zwecke nutzen, von der Durchführung massiver DDoS-Angriffe bis hin zur Verbreitung von Spam oder dem Diebstahl von Daten.
Technologisch gesehen haben Botnetze in den letzten Jahren erhebliche Fortschritte gemacht. Früher war die Struktur eines Botnetzes meist zentralisiert, was es den Strafverfolgungsbehörden erleichterte, solche Netzwerke zu zerschlagen. Moderne Botnetze hingegen nutzen zunehmend dezentrale Architekturen, etwa Peer-to-Peer (P2P)-Netzwerke, um resilienter gegen Abschaltungen zu sein. Dadurch sind Botnetze schwerer zu kontrollieren und zu beseitigen.
Entwicklungen im Jahr 2019 und 2020
Der Bericht hebt mehrere wichtige Entwicklungen in der Bedrohungslandschaft hervor:
- IoT-Botnetze: Ein großer Teil der Botnetze besteht aus Internet-of-Things (IoT)-Geräten. Jeden Tag werden Millionen neuer IoT-Geräte mit dem Internet verbunden, von denen viele nicht durch ausreichende Sicherheitsmaßnahmen geschützt sind. Schwachstellen wie Standardpasswörter und unsichere Netzwerkeinstellungen machen IoT-Geräte zu einem bevorzugten Ziel von Angreifern.
- Zunahme der Botnetzaktivitäten: Im Jahr 2019 stieg die Anzahl der identifizierten C2-Server um 71,5 % im Vergleich zum Vorjahr. Dabei war besonders das Mirai-Botnetz, das IoT-Geräte mit Brute-Force-Angriffen kompromittiert, äußerst aktiv. Die Zahl der Mirai-Varianten wuchs ebenfalls stark an, wobei Sicherheitsforscher einen Anstieg von 57 % beobachteten.
- Die Emotet-Bedrohung: Das Emotet-Botnetz war eines der aktivsten und gefährlichsten im Jahr 2019. Es verbreitete sich hauptsächlich über Spam-E-Mails und konnte Netzwerke infiltrieren, um dann weitere Malware, wie den Banking-Trojaner TrickBot, nachzuladen. Im Vergleich zu 2018 stieg die Anzahl der Emotet-Aktivitäten um 913 %, was die erhebliche Bedrohung durch dieses Botnetz verdeutlicht.
- Kryptowährungs-Mining: Neben klassischen Angriffen wie DDoS und Spam-Kampagnen nutzen Botmaster Botnetze auch für das Mining von Kryptowährungen. Ein Beispiel dafür ist das Retadup-Botnetz, das infizierte Geräte in Lateinamerika nutzte, um Monero zu schürfen. Durch eine erfolgreiche Kooperation zwischen Sicherheitsforschern und der französischen Polizei konnte dieses Botnetz allerdings 2019 deaktiviert werden.
- Neue Botnetz-Varianten: Der Bericht hebt auch neuere Botnetze wie Mozi hervor, ein auf DHT (Distributed Hash Table) basierendes Botnetz, das IoT-Geräte angreift und DDoS-Angriffe ausführen kann. Zudem wird das Roboto-Botnetz genannt, das P2P-Technologien verwendet und über vielfältige Funktionen verfügt, darunter das Sammeln von Daten und DDoS-Angriffe.
Angriffsvektoren und Botnetzaktivitäten
Botnetze verwenden eine Vielzahl von Angriffsvektoren, um Geräte zu infizieren und zu steuern. Zu den am häufigsten verwendeten Techniken gehören:
- Brute-Force-Angriffe: Diese Angriffe zielen darauf ab, schwache oder voreingestellte Passwörter zu knacken, um Zugriff auf IoT-Geräte oder andere Systeme zu erhalten.
- Exploits: Botnetze nutzen oft bekannte Sicherheitslücken in Software und Hardware aus, um Geräte zu kompromittieren. Ein Beispiel ist die Befehlsinjektion über HTTP, die von Botnetzen wie Mirai ausgenutzt wird.
Neben DDoS-Angriffen sind Botnetze zunehmend in anderen Bereichen aktiv, insbesondere im Bereich des Diebstahls von Anmeldedaten. Angreifer nutzen gestohlene Daten für Identitätsdiebstahl oder um auf Bankkonten und andere sensible Systeme zuzugreifen.
Abwehrmaßnahmen und Empfehlungen
Der ENISA-Bericht bietet verschiedene Empfehlungen, um Botnetze zu bekämpfen:
- Netzwerksicherheit: Unternehmen sollten Firewalls und Intrusion-Detection-Systeme implementieren, um den Datenverkehr zu überwachen und ungewöhnliche Aktivitäten zu erkennen.
- Sicherheitsupdates und Patching: Regelmäßige Updates und das Schließen von Sicherheitslücken in Geräten und Software sind unerlässlich, um Botnetze abzuwehren.
- Mehrstufige Authentifizierung: Um Brute-Force-Angriffe zu verhindern, sollte die Verwendung von Multi-Faktor-Authentifizierung und sicheren Passwörtern gefördert werden.
Fazit
Der Bericht zeigt, dass Botnetze eine ernsthafte Bedrohung für die Cybersicherheit darstellen, insbesondere durch ihre wachsende Komplexität und die zunehmende Nutzung von IoT-Geräten. Die Bekämpfung von Botnetzen erfordert koordinierte Anstrengungen, sowohl auf technischer als auch auf politischer Ebene, um die globale Bedrohung durch diese Netzwerke einzudämmen.