Zombies, Spione und Terroristen: PCs außer Kontrolle

Das Cybercrime_Blog wird nicht nur durch Forscher und Lehrende unserer Hochschule getragen. In den nächsten Wochen werden wir auch eine Reihe von Beiträgen unserer Studenten veröffentlichen. Den Anfang macht heute PKA Stefan Mertinatsch mit seinem Beitrag zu Bot-Netzwerken:

Diesen Blogbeitrag hat ein Mensch geschrieben. Mit den eigenen Händen auf einer Tastatur. So selbstverständlich wie sich das zunächst liest, ist es gar nicht: Haben Sie schon E-Mails erhalten, in denen Sie aufgefordert wurden, eine nicht zuzuordnende Rechnung zu bezahlen oder einen Link anzuklicken, um ein sensationelles Angebot zu erhalten, das ganz speziell für Sie gemacht wird? Glauben Sie nicht, dass Ihnen derlei Aufforderungen immer ein Mensch geschickt hat. Zumindest nicht direkt. Der Absender war zumeist ein Zombie.
Wenn Sie sich jetzt ein hirnlos dahintaumelndes, menschenähnliches Wesen mit entstellten Gesichtszügen und Hunger auf Fleisch vorstellen; sorry, ich muss Sie enttäuschen. Es handelt sich vielmehr um einen ferngesteuerten Computer, den man im Fachjargon auch Bot oder Zombie nennt. Solche unter fremder Kontrolle stehenden Computer können riesige Netzwerke bilden. Man spricht dann von Botnets bzw. Bot-Netzen. Allein in Deutschland waren im Jahr 2010 nach Angaben des Internet Security Threat Report von Symantec bereits ca. 470.000 Rechner Teil eines solchen Bot-Netzwerkes. Botnetze können dabei aus nur wenigen Tausend oder auch aus mehreren Millionen Rechnern bestehen. Die generelle Relevanz von Bots für das Internet kann man anhand des Bot Traffic Reports von Incapsula erahnen. Hieraus geht hervor, dass Bots im Dezember 2013 bereits für ca. 61,5% des Datenaufkommens im Internet verantwortlich waren. Direkt von Menschen gesteuert ist nur ein gutes Drittel des Internetverkehrs. Allerdings zählt Incapsula nicht nur Zombie-Botnetze, sondern auch Suchmaschinen – doch immerhin gut 30% der Bots haben gemäß Incapsula die Absicht, Schaden anzurichten.

Doch wie wird ein Computer zu so einem Zombie? PCs laufen ja in der Regel nicht durch die Gegend und beißen sich gegenseitig in die Netzteile. Ein PC wird durch einen Zombie auf die gleiche Art und Weise infiziert, wie bei herkömmlicher Malware: Die Bot-Software steckt z.B. in infizierten Raubkopien beliebter Programme, wird über Sicherheitslücken im Browser eingeschleust, als vermeintlich nutzbringendes Programm zum Download angeboten oder auch unter einem Vorwand als Mail-Anhang verschickt.

Doch selbst wenn Sie niemals auf gefälschte E-Mails reagieren, keine Anhänge öffnen und keine Raubkopien herunterladen, kann Ihr Rechner infiziert werden: per Drive-by Download. Die Infektion wird dann durch meist unbemerktes und unbeabsichtigtes Herunterladen von Software auf Ihren Rechner realisiert (quasi im Vorbeifahren, also drive-by). Hierzu ist nur das Aufrufen einer speziell präparierten Webseite nötig. Sicherheitslücken des Browsers oder der Add-ons eines Browsers reichen beim Besuch einer solchen Webseite bereits aus, damit ihr PC infiziert werden kann. Und schon wird Ihr PC zu einem Zombie!

Die Schadsoftware, meistens ein sogenannter Trojaner, installiert sich dabei unbemerkt auf Ihrem System und läuft im Hintergrund mit. Ihr PC ist dann Teil eines Botnets und kann vom Betreiber dieses Netzes, dem Bot-Master, von jedem beliebigen Standort aus ferngesteuert werden. Stadt, Land und sogar Kontinent spielen für ihn keine Rolle. Ihr PC muss nur angeschaltet und mit dem Internet verbunden sein.
Die mit Bots infizierten Computer können nun vom Bot-Master direkt oder indirekt kontrolliert und gesteuert werden. Bei direkter Kontrolle kontaktiert der Bot-Master den infizierten Computer und steuert diesen mittels Befehlen, die im Bot-Programm integriert sind. Bei der indirekten Kontrolle meldet sich der Bot selbst beim Steuerungszentrum oder anderen Computern im Botnetz und führt von ihnen empfangene Befehle aus. Außerdem ist es sogar möglich, dass sich der Trojaner, nachdem er seine kriminelle Aufgabe erledigt hat, wieder von selbst deinstalliert und somit kein Nachweis mehr über die zurückliegende Infektion ihres Systems existiert.

Doch was macht der Bot-Master eigentlich mit Ihrem PC? Es gibt für ihn viele Einsatzmöglichkeiten:
Zunächst können die E-Mail-Konten ihres Computers als Ziel von Spam missbraucht werden. Dabei werden die im Adressbuch des Mailkontos gespeicherten E-Mail Adressen ausgelesen und mit Spam-Mails überflutet. Sind diese Spam-Mails ebenfalls infiziert, können dabei auch noch jene Rechner mit Schadsoftware verseucht werden, bei denen diese E-Mails eingehen. Ihr Zombie-Rechner trägt also zur weltweiten Zombifizierung bei, indem die von ihm verursachten Mails massenhaft neue Rechner infizieren und so gemeinsam durch den Bot-Master ansteuerbare Zombiehorden schaffen.
Diese Mails können aber auch vom Bot-Master zum Phishing, also zum „Abfischen“ von Passwörtern, verwendet werden. Eine solche E-Mail täuscht dann z.B. vor, von der eigenen Bank zu stammen, leitet jedoch den Nutzer (durch das Anklicken von in der Mail befindlichen Links) auf eine gefälschte Internetseite um. Dort wird von ihm die Eingabe eines Passworts oder einer TAN-Nummern verlangt. Somit kann Ihr PC auch als Spion ausgenutzt werden!

Der Bot-Master kann sein so geschaffenes Netzwerk von fernsteuerbaren Computern zudem an Cyberkriminelle vermieten, damit diese das Botnet für ihre Zwecke missbrauchen können. Zum Beispiel zur Erpressung: Ein aus mehreren hunderttausend infizierten Rechnern bestehendes Botnet ist in der Lage, fremde Webseiten mittels einer so genannten DDoS-Attacke anzugreifen und in der Folge lahmzulegen. Die Zombiehorde überhäuft die Server der Zielwebseite dann mit Unmengen falschen Anfragen. Auf diese Weise wird der Server überlastet und ist für die normalen Anwender nicht mehr erreichbar.
Für Betreiber einer kommerziellen Webseite wäre eine solche fehlende Erreichbarkeit folgenschwer. Schon einige Stunden, in denen die eigene Webseite durch eine DDoS-Attacke nicht angesteuert werden kann, bewirken unter Umständen enorme Umsatzeinbußen. Genau hier setzen mitunter die Erpressungsversuche an: Cyberkriminelle fordern Geld, um die Angriffe auf entsprechende Webseiten einzustellen. Oder sie drohen damit, derartige Angriffe zu starten, wenn kein Geld gezahlt wird. Zudem können solche DDoS-Attacken auf Server staatlicher Institutionen oder Regierungsorganisationen auch genutzt werden, um politischen Druck auszuüben. Und so kann Ihr PC auch als Cyber-Terrorist missbraucht werden!

Die Chance, im laufenden Betrieb zu bemerken, dass Ihr PC in einem Botnetz steckt, ist relativ gering. Anzeichen für eine Infektion können eine verschlechterte Internetgeschwindigkeit, ein generell langsameres Ansprechen des Systems oder das unerwünschte Aufrufen von Webseiten und Werbung sein. Infizierte Computer müssen aber nicht zwangsläufig diese Symptome zeigen. Anwender merken daher meist überhaupt nicht, dass ihr Computer ein Zombie geworden ist.
Dennoch gibt es Methoden, den eigenen Rechner auf Zombifizierung zu überprüfen. Dazu müssen Sie Ihrem PC zum Glück nicht wie bei einem Horrorfilm-Zombie in den Kopf schießen. Auf www.botfrei.de können Sie sich vielmehr ein Programm herunterladen, das Ihren Rechner auf Malware untersucht und das System davon befreit.
Um zusätzlich eine neue Infektion zu verhindern, sollten Sie die folgenden Regeln beachten:

  • Installieren Sie aktuelle Service Packs und Sicherheitsupdates für Ihr System und aktivieren Sie automatische Updates.
  • Überprüfen Sie die von Ihnen eingesetzten Internetbrowser und die darin eingebundenen Plugins regelmäßig auf ihre Aktualität.
  • Installieren Sie ein Antivirenprogramm und aktivieren Sie automatische Updates.
  • Benutzen Sie eine Firewall.

Über den technischen Schutz hinaus sollten einige Verhaltensrichtlinien beachtet werden. Hinweise dazu, bietet die Polizeiliche Kriminalprävention auf ihrer Webseite an:

  • Öffnen Sie keine ungeprüften Dateianhänge. Dies gilt insbesondere, wenn es sich bei diesen Anhängen um ausführbare Programm-Dateien mit den Endungen .exe, aber auch .bat, .com oder .vbs handelt. Es ist jedoch selbst dann wichtig, wenn in der Anlage „nur“ scheinbar ungefährliche Dateien wie Bilder, Dokumente oder sonstige Dateien sind. Auch diese können verseucht sein.
  • Virenbehaftete E-Mails verraten sich oft durch eine leere oder besonders reißerische Betreffzeile (z.B. aus dem Erotikbereich). Seien Sie auch misstrauisch, wenn Sie E-Mails mit einem fremdsprachigen Betreff erhalten, die Mail voller Rechtschreibfehler ist oder sämtliche Umlaute fehlen.
  • Vermeiden Sie es generell, auf Links in unaufgefordert zugesandten E-Mails zu klicken. Derartige Links können Sie auf infizierte Webseiten umleiten und Ihren PC dort mit Schadsoftware infizieren.
  • Seien Sie in Sozialen Netzwerken bei Mitteilungen und Angeboten von Ihnen nicht bekannten Teilnehmern skeptisch. Prinzipiell gelten dort dieselben Sicherheitshinweise wie zum Umgang mit E-Mails.

Wenn Sie sich an diese Regeln halten, reduzieren Sie die Gefahr, dass sich Ihr friedlicher Computer in einen Zombie verwandelt. Wer möchte schon Zombies, Spione oder Terroristen zu Hause haben? Also passen Sie gut auf sich und ihren PC auf.

2 thoughts on “Zombies, Spione und Terroristen: PCs außer Kontrolle

  • 18. Juli 2014 um 21:00
    Permalink

    Ein sehr interessanter Artikel:-)
    Darf ich ihn auf meiner Webseite und auf der Facebook-Seite der FHPol verlinken?

    Rainer Grieger

    Antwort
    • 19. Juli 2014 um 15:27
      Permalink

      Ausgesprochen gerne, Herr Grieger. In den nächsten Tagen werden weitere Beiträge von unseren Studierenden veröffentlicht. Wir freuen uns auf Ihre Besuche im Cybercrime-Blog und weitere Kommentare, Verlinkungen und eine angeregte Diskussion.

      Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code