DIY Botnet Detection: Techniques and Challenges

DIY Botnet Detection: Techniques and Challenges

Botnets gibt es seit über zwei Jahrzehnten, und mit dem Aufkommen des Internets der Dinge (IoT) haben sie sich weiter auf Geräte ausgebreitet, die niemand für möglich gehalten hätte: Router, mobile Geräte und sogar Toaster.

Einige Botnetze sind Legionen von Bot-Soldaten, die auf einen Befehl warten, um einen Zielserver anzugreifen, um den Server im Allgemeinen mit einem Distributed-Denial-of-Service-Angriff (DDoS) zu überwältigen. Andere Botnetze zielen auf bestimmte Geräte ab, indem sie Passwörter stehlen oder Kryptowährung abbauen. Insbesondere Cryptocurrency Mining war in letzter Zeit eine dramatisch wachsende Bedrohung für Unternehmen, da Botnetze wie Coinhive und CryptoLoot es Cyberkriminellen ermöglichen, auf Kosten der Rechenleistung der Opfer bis zu 100 Millionen US-Dollar pro Jahr zu verdienen. Smominru, eines der größten Cryptocurrency-Mining-Botnetze, hat über eine halbe Million Maschinen mit dem berüchtigten EternalBlue-Exploit infiziert, der von der NSA durchgesickert ist.

Um Botnet-Infektionen zu verhindern, müssen Organisationen in der Lage sein, sie zu erkennen. Die Erkennung von Botnets ist jedoch nicht einfach. Lassen Sie uns einige der wichtigsten Techniken und Herausforderungen bei der Erkennung von Botnets untersuchen.

Methoden zur Erkennung von Botnets
Also, was ist ein Botnet? Einfach ausgedrückt handelt es sich um einen Cluster von Bots — kompromittierte Computer und Geräte —, die vom Botnetzbesitzer angegebene Befehle ausführen. Normalerweise widmet der Botnetzbesitzer einen Command and Control Server (C2), einen kompromittierten Server für die Kommunikation mit den Bots, normalerweise über Internet Relay Chat-Befehle. Der Botnetzbesitzer verwendet den C2-Server, um Botnets anzuweisen, Angriffe auszuführen, unabhängig davon, ob es sich um DDoS-Angriffe, Datendiebstahl, Identitätsdiebstahl oder eine andere Art von Angriff handelt. Die rauchende Waffe, die auf ein Botnetz verweist, ist also sein C2-Server.

Leider ist das Auffinden des C2 normalerweise keine einfache Aufgabe. Viele Botnet-Befehle stammen von mehreren Servern oder nehmen versteckte Formen an und maskieren die schädlichen Befehle als harmlose Aktivitäten wie Tor-Netzwerkverkehr, Social-Media-Verkehr, Verkehr zwischen Peer-to-Peer-Diensten oder Algorithmen zur Domänenerstellung. Erschwerend kommt hinzu, dass die Befehle oft sehr subtil sind, was es schwierig macht, Anomalien zu erkennen.

Eine Methode zum Erkennen von C2s besteht darin, den Malware-Code aufzuschlüsseln und zu analysieren. Organisationen können versuchen, den kompilierten Code zu zerlegen, aus dem sie manchmal die Stammquelle der Befehle des Botnetzes identifizieren können. Da Botnet-Ersteller und -Administratoren jedoch zunehmend integrierte Verschlüsselung verwenden, ist diese Technik immer weniger effektiv.

Im Allgemeinen erfordert die C2-Erkennung Transparenz in der Kommunikation zwischen einem C2-Server und seinen Bots, aber nur Sicherheitslösungen, die speziell C2-Server schützen, haben diese Art von Sichtbarkeit. Ein gängigerer Ansatz zur Erkennung von Botnetzen besteht darin, die Angriffe selbst zu verfolgen und zu analysieren — wobei Standardsicherheitslösungen Transparenz bieten — und festzustellen, welche Angriffe von Botnetzen ausgehen.

Bei Exploit-Versuchen gibt es einige mögliche Hinweise auf ein Botnetz. Wenn beispielsweise dieselben IP-Adressen dieselben Sites gleichzeitig mit denselben Nutzlasten und Angriffsmustern angreifen, besteht eine gute Chance, dass sie Teil eines Botnetzes sind. Dies gilt insbesondere, wenn viele IPs und Sites beteiligt sind. Ein prominentes Beispiel ist ein DDoS-Versuch eines Botnetzes auf einem Webdienst.

False Positives
Die Wahrscheinlichkeit von False Positives macht die Erkennung von Botnets besonders schwierig. Einige Nutzlasten sind weit verbreitet, was die Wahrscheinlichkeit erhöht, dass ein zufällig auftretendes Muster ein falsch positives Ergebnis auslöst. Darüber hinaus können Angreifer ihre IP-Adressen mithilfe eines virtuellen privaten Netzwerks oder eines Proxys ändern, sodass es so aussieht, als wären viele Angreifer oder Bots beteiligt, wenn es wirklich nur einen gibt.

Hacking-Tools und Schwachstellenscanner verhalten sich auch ähnlich wie Botnetze, um häufig falsch positive Ergebnisse zu liefern. Dies liegt daran, dass Hacking-Tools die gleichen Nutzlasten und Angriffsmuster generieren und viele Hacker sie unabhängig von der Farbe ihres Hutes verwenden. Und wenn verschiedene Spieler gleichzeitig einen Penetrationstest an denselben Standorten durchführen, kann dies wie ein Botnet-Angriff aussehen.

Organisationen können häufig Fehlalarme identifizieren, indem sie die Nutzlast googeln und auf dokumentierte Informationen verweisen. Eine andere Technik besteht darin, einfach alle Informationen zu sammeln, die in der Rohanforderung in der Sicherheitslösung leicht verfügbar sind. Wenn beispielsweise ein Schwachstellenscanner schuld ist, zeigen die meisten Sicherheitslösungen dies an, indem sie ihn identifizieren, insbesondere wenn es sich um einen der häufigsten Schwachstellenscanner handelt.

False Positives sind angesichts der enormen Anzahl potenzieller Vorfälle eine unvermeidliche Herausforderung bei der Erkennung von Botnets. Jüngste Untersuchungen zeigen, dass 27% der IT-Experten täglich über 1 Million Sicherheitswarnungen erhalten, während 55% mehr als 10.000 erhalten. Mit den richtigen Techniken und der richtigen Sorgfalt können Unternehmen jedoch den harmlosen Datenverkehr vom böswilligen, Botnet-gesteuerten Datenverkehr unterscheiden.

Verwandte Inhalte:

• 7 Nicht-Computer-Hacks, die niemals passieren sollten
• Neues Botnetz zeigt die Entwicklung von Technologie und krimineller Kultur
• Paul Vixie über DNS-Sicherheit & Botnet-Takedowns (Video)
• Der Anti-Botnet-Leitfaden zielt darauf ab, automatisierte Bedrohungen zu bekämpfen