ENISA Threat Landscape Report zu Botnetzen

Enisa

 

Der ENISA Threat Landscape Report zu Botnetzen bietet eine detaillierte Analyse der Bedrohungen durch Botnetze und deren Entwicklung zwischen Januar 2019 und April 2020. Ein Botnetz ist ein Netzwerk von Geräten, die durch Schadsoftware (Malware) infiziert wurden, um koordiniert von einem bösartigen Akteur gesteuert zu werden. Diese Netzwerke werden hauptsächlich für Distributed Denial of Service (DDoS)-Angriffe verwendet, können aber auch für eine Vielzahl anderer krimineller Aktivitäten wie Identitätsdiebstahl, Spionage, Erpressung, Kryptowährungs-Mining und Betrug eingesetzt werden.

Definition und Funktionsweise von Botnetzen

Botnetze bestehen aus infizierten Geräten, auch „Zombies“ genannt, die durch Malware kompromittiert wurden und von einem „Botmaster“ über ein Command-and-Control (C2)-System gesteuert werden. Der Botmaster kann diese infizierten Geräte für verschiedene Zwecke nutzen, von der Durchführung massiver DDoS-Angriffe bis hin zur Verbreitung von Spam oder dem Diebstahl von Daten.

Technologisch gesehen haben Botnetze in den letzten Jahren erhebliche Fortschritte gemacht. Früher war die Struktur eines Botnetzes meist zentralisiert, was es den Strafverfolgungsbehörden erleichterte, solche Netzwerke zu zerschlagen. Moderne Botnetze hingegen nutzen zunehmend dezentrale Architekturen, etwa Peer-to-Peer (P2P)-Netzwerke, um resilienter gegen Abschaltungen zu sein. Dadurch sind Botnetze schwerer zu kontrollieren und zu beseitigen.

Entwicklungen im Jahr 2019 und 2020

Der Bericht hebt mehrere wichtige Entwicklungen in der Bedrohungslandschaft hervor:

  1. IoT-Botnetze: Ein großer Teil der Botnetze besteht aus Internet-of-Things (IoT)-Geräten. Jeden Tag werden Millionen neuer IoT-Geräte mit dem Internet verbunden, von denen viele nicht durch ausreichende Sicherheitsmaßnahmen geschützt sind. Schwachstellen wie Standardpasswörter und unsichere Netzwerkeinstellungen machen IoT-Geräte zu einem bevorzugten Ziel von Angreifern.
  2. Zunahme der Botnetzaktivitäten: Im Jahr 2019 stieg die Anzahl der identifizierten C2-Server um 71,5 % im Vergleich zum Vorjahr. Dabei war besonders das Mirai-Botnetz, das IoT-Geräte mit Brute-Force-Angriffen kompromittiert, äußerst aktiv. Die Zahl der Mirai-Varianten wuchs ebenfalls stark an, wobei Sicherheitsforscher einen Anstieg von 57 % beobachteten.
  3. Die Emotet-Bedrohung: Das Emotet-Botnetz war eines der aktivsten und gefährlichsten im Jahr 2019. Es verbreitete sich hauptsächlich über Spam-E-Mails und konnte Netzwerke infiltrieren, um dann weitere Malware, wie den Banking-Trojaner TrickBot, nachzuladen. Im Vergleich zu 2018 stieg die Anzahl der Emotet-Aktivitäten um 913 %, was die erhebliche Bedrohung durch dieses Botnetz verdeutlicht.
  4. Kryptowährungs-Mining: Neben klassischen Angriffen wie DDoS und Spam-Kampagnen nutzen Botmaster Botnetze auch für das Mining von Kryptowährungen. Ein Beispiel dafür ist das Retadup-Botnetz, das infizierte Geräte in Lateinamerika nutzte, um Monero zu schürfen. Durch eine erfolgreiche Kooperation zwischen Sicherheitsforschern und der französischen Polizei konnte dieses Botnetz allerdings 2019 deaktiviert werden.
  5. Neue Botnetz-Varianten: Der Bericht hebt auch neuere Botnetze wie Mozi hervor, ein auf DHT (Distributed Hash Table) basierendes Botnetz, das IoT-Geräte angreift und DDoS-Angriffe ausführen kann. Zudem wird das Roboto-Botnetz genannt, das P2P-Technologien verwendet und über vielfältige Funktionen verfügt, darunter das Sammeln von Daten und DDoS-Angriffe.

Angriffsvektoren und Botnetzaktivitäten

Botnetze verwenden eine Vielzahl von Angriffsvektoren, um Geräte zu infizieren und zu steuern. Zu den am häufigsten verwendeten Techniken gehören:

  • Brute-Force-Angriffe: Diese Angriffe zielen darauf ab, schwache oder voreingestellte Passwörter zu knacken, um Zugriff auf IoT-Geräte oder andere Systeme zu erhalten.
  • Exploits: Botnetze nutzen oft bekannte Sicherheitslücken in Software und Hardware aus, um Geräte zu kompromittieren. Ein Beispiel ist die Befehlsinjektion über HTTP, die von Botnetzen wie Mirai ausgenutzt wird.

Neben DDoS-Angriffen sind Botnetze zunehmend in anderen Bereichen aktiv, insbesondere im Bereich des Diebstahls von Anmeldedaten. Angreifer nutzen gestohlene Daten für Identitätsdiebstahl oder um auf Bankkonten und andere sensible Systeme zuzugreifen.

Abwehrmaßnahmen und Empfehlungen

Der ENISA-Bericht bietet verschiedene Empfehlungen, um Botnetze zu bekämpfen:

  1. Netzwerksicherheit: Unternehmen sollten Firewalls und Intrusion-Detection-Systeme implementieren, um den Datenverkehr zu überwachen und ungewöhnliche Aktivitäten zu erkennen.
  2. Sicherheitsupdates und Patching: Regelmäßige Updates und das Schließen von Sicherheitslücken in Geräten und Software sind unerlässlich, um Botnetze abzuwehren.
  3. Mehrstufige Authentifizierung: Um Brute-Force-Angriffe zu verhindern, sollte die Verwendung von Multi-Faktor-Authentifizierung und sicheren Passwörtern gefördert werden.

Fazit

Der Bericht zeigt, dass Botnetze eine ernsthafte Bedrohung für die Cybersicherheit darstellen, insbesondere durch ihre wachsende Komplexität und die zunehmende Nutzung von IoT-Geräten. Die Bekämpfung von Botnetzen erfordert koordinierte Anstrengungen, sowohl auf technischer als auch auf politischer Ebene, um die globale Bedrohung durch diese Netzwerke einzudämmen.

 



ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content