Botnet Detection

 

Unter einem Bot versteht man einen Rechner, der sich nicht mehr unter der vollen Kontrolle des Rechnereigentümers befindet, sondern von einem Botnet-Betreiber ferngesteuert wird. Befinden sich mehrere Rechner unter der Kontrolle eines Botnet-Betreibers, bezeichnet man diesen Rechnerverbund als Botnet. Neben dem Erhalt und der Erweiterung des Botnet werden Bots meist für folgende Aufgaben missbraucht:

  • Diebstahl von Daten
  • Klickbetrug
  • Versendung von Spam
  • Distributed Denial of Service (DDoS) Angriffe

Rechner in einem Unternehmensnetzwerk, welche Teil eines Botnet sind, bergen sehr hohe Risiken für das betroffene Unternehmen in sich. Zum einen können sie benutzt werden, um Daten aus dem Unternehmen zu stehlen. Zum anderen kann es zu Problemen, wie Reputationsverlust führen, wenn sich Unternehmensrechner an Klickbetrug, DDoS-Angriffen oder der Versendung von Spam beteiligen.

Die hauptsächlichen Infektionswege, die einem Unternehmensrechner in einen Bot verwandeln, sind:

  • Schadcode-Empfang per E-Mail
  • Ausnutzung von Schwachstellen

Der Schadcode-Empfang per E-Mail funktioniert hierbei genauso, wie der Empfang klassischer Viren und Trojaner. Der Ausnutzung von Schwachstellen geht meist ebenfalls der Empfang einer E-Mail voraus, die den Mitarbeiter durch Social-Engineering-Techniken dazu verleitet, auf eine speziell präparierte Webseite zuzugreifen. Beim Aufruf der Webseite wird dann eine Schwachstelle – speziell in Internet-Browsern bzw. deren Erweiterungen (Java, Flash, Acrobat-Reader…) – ausgenutzt und der Schadcode ausgeführt, welcher den Unternehmensrechner in einen Bot verwandelt und ihn unter die Kontrolle des Botnet-Betreibers bringt. Sowohl bei dieser als „Drive-by-Infection“ bezeichneten Methode, als auch bei direktem Schadcode-Empfang per E-Mail werden immer häufiger „Zero Day Exploits“ eingesetzt, welche Sicherheitslücken ausnutzen, für die noch keine Patches verfügbar sind. Dadurch ist es einem Unternehmen oftmals nicht möglich, sich gegen die Infektion einzelner Rechner effektiv zu schützen.

Ist der Rechner infiziert, nimmt dieser über einen Command & Control Server (C&C Server) Kontakt mit dem Botnet-Betreiber auf. Die Möglichkeit der Kommunikation zwischen Bot und Botnet-Betreiber ist das eigentlich Gefährliche an einem Botnet und unterscheidet es von traditioneller Malware. Zum einen kann die Kommunikationsmöglichkeit als Brücke in das betroffene Unternehmen verwendet werden und umgeht somit sämtliche Perimeter-Defense-Maßnahmen – der Angreifer befindet sich quasi im internen Netzwerk. Zum Anderen ermöglicht die Kommunikation dem Botnet-Betreiber jederzeit, nicht nur Aufgaben an den Bot zu vergeben und dem Bot neue Funktionen hinzuzufügen, sondern auch den Schadcode anzupassen, um einer Erkennung durch Antiviren-Programme zu entgehen.

Für die Kommunikation zwischen dem Bot und dem C&C-Server wurde anfangs meist Internet Relay Chat (IRC) verwendet, da es perfekt für die gleichzeitige Kontrolle vieler entfernter Rechner geschaffen ist. Da IRC am Perimeter fast aller Unternehmensnetzwerke geblockt wird, stellt ein IRC-gesteuertes Botnet für ein Unternehmen kein hohes Risiko dar. Neben anderen Methoden wird die Kommunikation zwischen Bot und C&C-Server heutzutage allerdings meist in Protokollen wie HTTP/HTTPS oder DNS versteckt. Da sich diese Art der Kommunikation nur sehr schwer vom normalen Surfverhalten eines Mitarbeiters unterscheiden lässt, stellen HTTP/HTTPS gesteuerte Botnets, wie Zeus, oder DNS gesteuerte Botnets, wie Palevo, ein hohes Risiko für ein Unternehmen dar.

Zusammenfassend kann man davon ausgehen, dass die Infektion eines Unternehmensrechners durch die vermehrte Verwendung von „Zero-Day-Exploits“ nicht immer verhindert werden kann. Sich bei der Erkennung von Bots auf Antiviren-Programme zu verlassen, ist sehr problematisch, da diese reaktive Maßnahme oftmals langsamer ist als die Updates der Botnet-Betreiber. Schutz durch klassische Perimeter-Defense-Maßnahmen ist kaum möglich, da sich der Bot im internen Netz befindet und zur Kommunikation zwischen Bot und C&C-Server Kommunikationskanäle verwendet werden können, die auch für den reibungslosen Betrieb eines Unternehmens notwendig sind.

Was können Sie tun, um Bots in Ihrem Unternehmensnetzwerk zu erkennen und die von ihnen ausgehenden Risiken zu minimieren?

SECUINFRA hat verschiedene Techniken entwickelt, welche es unseren Kunden ermöglichen, Bots in ihren Unternehmensnetzwerken zu enttarnen und Gegenmaßnahmen einzuleiten.

Die von uns entwickelten Techniken beruhen auf folgenden 3 Säulen:

  • Erkennung der Infektion
  • Erkennung der Kommunikation zwischen dem Bot und dem C&C-Server
  • Erkennung des Bot durch sein Verhalten bei der Erledigung seiner Aufgaben

Bei der Erkennung der Infektion greifen wir auf die Meldungen aus Antiviren-Programmen und IDS/IPS-Systemen zurück. Auch wenn diese meist signaturbasierten, reaktiven Techniken problematisch sind, helfen sie dabei, sich ein Gesamtbild zu verschaffen.

Bei der Erkennung der Kommunikation mit C&C-Servern setzen wir unter anderem auf die Erkennung folgender Anomalien:

  • Ungewöhnliche Kommunikationsversuche von internen Systemen ins Internet
  • Kommunikationsbeziehungen zu bekannten C&C-Servern
  • Ungewöhnliches Kommunikationsverhalten bei HTTP/HTTPS und DNS

Bei der Erkennung des Verhaltens eines Bot bei der Erledigung seiner Aufgaben setzen wir beispielsweise auf die Erkennung folgender Auffälligkeiten:

  • Ausführung von Kommandos zur Informationsbeschaffung
  • Netzwerk-Scans und Port-Scans, welche von internen Systemen ausgehen
  • Zugriffsversuche von internen Systemen auf sensible Ressourcen

Die mit diesen und weiteren Techniken gesammelten Informationen werden in einem zentralen Security Information & Event Management (SIEM) erfasst, korreliert und zu einem Gesamtbild zusammengefügt. Durch diesen allumfassenden Ansatz ist es unseren Kunden möglich, Bots in ihren Unternehmen zu enttarnen und die von ihnen ausgehenden Risiken zu minimieren.

Sie möchten mehr erfahren?

Kontaktieren Sie uns!