Universität Stuttgart

Botnetze

Ein Botnetz besteht aus mit dem Internet verbundenen Geräten, auf denen eine spezielle Software bzw. Malware ("Bot") läuft. Kontrolliert werden sie mithilfe von Command-and-Control (C&C oder auch C2)-Software.

Bösartige Botnetze werden unter anderem für Angriffe auf andere Systeme wie zum Beispiel Distributed Denial of Service (DDoS), zum Spamversand oder zum Stehlen von Daten genutzt.

Auch wenn es einzelne Beispiele von nicht-bösartigen Botnetzen gibt, ist der Begriff doch überwiegend negativ belegt.

Botnetze und Malware

Es ist zunehmend zu beobachten, dass die Trennung zwischen verschiedenen Arten von Malware verschwimmt. Initial wird auf dem infizierten System lediglich ein Loader bzw. Remote Access Trojan (RAT) aufgebracht, der wie in einem Botnetz von einem Command-and-Control-Server gesteuert wird. Dieser lädt dann weitere Malware-Module nach, die die eigentliche Funktionalität der Malware darstellen.

Damit ist es einem Angreifer unter anderem möglich, weitere Systeme im internen Netzwerk anzugreifen (Lateral Movement) oder Ransomware zu installieren.

Wie erkenne ich, ob mein Rechner mit einem Bot infiziert ist?

Da es sehr viele verschiedene Formen von Bot-Malware gibt, ist eine allgemeingültige Antwort auf diese Frage schwierig.

Teilweise werden Bots von Virenscannern erkannt; in manchen Fällen zeigt der Rechner auffälliges Verhalten wie besonders hohe CPU- oder Netzwerkauslastung.

Verbindungen aus dem Uninetz zu bekannten C&C-Servern bzw. Honeypots legen nahe, dass ein System mit einer Bot-Malware infiziert ist. Das RUS-CERT wird hierüber im Rahmen des eigenen Flowmonitoring bzw. von externen Organisationen wie der Shadowserver Foundation benachrichtigt. Diese Information geben wir selbstverständlich umgehend an die zuständigen Ansprechpersonen weiter.