Ökosystem Botnetze

Über Botnetze erhielten Cyberkriminelle in den vergangenen Jahren illegalen Zugriff auf Millionen infizierte Rechner. Die Folge davon war, dass die Anzahl von Internetbetrügereien ins Hundertfache stieg. Die meisten Internetnutzer sind sich der Gefahr durchaus bewusst, die von diesen Zombienetzen ausgeht, doch vielen fehlt das entsprechende Wissen, wie Botnetze entstehen und mit ihnen Geld verdient wird.

Botnetze bilden das Fundament der Internetkriminalität, das die einzelnen Glieder der Online-Betrugs-Kette miteinander verbindet. Um diese System zu verstehen und für eigene Zwecke zu missbrauchen, bedarf es keiner besonderen technischen Kenntnisse – die Geschäftsverhandlungen der Cyberkriminellen finden im Netz statt, mit einem Besuch einer entsprechenden Webseite lässt sich das nötige Wissen erwerben.

Am intensivsten werden Botnetze von Onlinebetrügern aus Russland genutzt, daher verkehren die meisten Botnetz-Betreiber im russischen Internet, dem so genannten Runet. Aus diesem Grund sind die Screenshot-Texte im vorliegenden Artikel in russischer Sprache.

Die Kriminellen

Wie in jedem gut funktionierenden Geschäftszweig gibt es auch in der Cybercrime-Szene Spezialisierungen auf verschiedene Fachgebiete. Will man diese Szene genauer analysieren, sollte man zuerst einen Blick auf jene Webseiten werfen, auf denen illegale Waren und Dienstleistungen angeboten werden. Denn die Hauptabnehmer solcher Waren und Dienstleistungen sind Botnetzbetreiber.

Entwicklung von Schadcode

Die meisten Internetverbrechen stehen in direkter oder indirekter Verbindung mit schädlichen Programmen – mit Viren, Trojanern, Netzwürmern und Programmen zur Durchführung von Remote-Angriffen. Schadcode ist also das wichtigste Werkzeug für Cyberkriminelle.

Die Hauptabnehmer von Malware sind Botnetzbetreiber. Sie setzen diese Programme nicht nur für den Aufbau von Zombie-Netzen ein, sondern auch, um vertrauliche Informationen von infizierten Rechnern abzuschöpfen, Spam zu versenden, infizierte Computer in Proxy-Server umzuwandeln und gefälschte Antiviren-Programme und Werbung zu verbreiten.

Programmierer von Schadcode und Betreiber von Botnetzen wissen ganz genau, dass der Erfolg ihrer Geschäfte vor allem von einer erfolgreichen Zusammenarbeit untereinander abhängt. Wer ein umfangreiches Botnetz steuert, benötigt ständig neue Schadprogramme – wer Schadcode programmiert, braucht zufriedene und zuverlässige Abnehmer.

Heutzutage ist es kein Problem, Leute zu finden, die Schadprogramme auf Bestellung liefern. Denn die entsprechenden Angebote werden in allgemein zugänglichen Hacker-Foren veröffentlicht. In derartigen Foren gehen Onlinekriminelle ihren Geschäften nach. Hier ein typisches Beispiel für eine Anzeige in einem Hacker-Forum:

Schreibe Trojaner auf Bestellung

Aufträge für die Programmierung von trojanischen Programmen richten Sie bitte an —–@mail.com.

Geben Sie in Ihrer Mail bitte an, über welche Funktionen der von Ihnen benötigte Trojaner verfügen soll. Verschiedene Ausführungen, unter anderem als Backdoor sind möglich.
Bearbeitungszeit (zwischen 1 und 3 Tagen) sowie Preis auf Verhandlungsbasis, doch ich verspreche schon jetzt, dass Sie mit meiner Arbeit zufrieden sein werden. Keine Vorkasse.
Zu einem bestellten Trojaner erhalten Sie als Geschenk einen (ebenfalls von mir geschriebenen) Joiner.

Diese Anzeige bietet die Programmierung eines individuell programmierten Trojaners an. Zusätzlich kann ein so genannter „Joiner“ bestellt werden, ein Programm, das es ermöglicht, Schadprogramme in eine ausführbare Datei einer legalen Anwendung einzuschleusen.

Meist werden in solchen Hackerforen passwortstehlende Programme angeboten. Neben diesen Foren gibt es noch Webseiten, auf denen echte Profis verkehren. Meist handelt es sich dabei um Einzelgänger, die sich auf Sicherheitsfragen von Windows spezialisiert haben und problemlos mit den Entwicklern von Microsoft konkurrieren könnten. Das Problem dabei: Diese Computerexperten arbeiten nicht für, sondern gegen Windows-Anwender, indem sie komplexe Schadprogramme entwerfen – ein großes Problem für Entwickler von Antiviren-Software als auch für die großen Internet-Provider.

Glücklicherweise bewegen sich die meisten illegalen Inserenten im Internet, die Abnehmer für ihre Schadprogramme suchen, nur auf unterem oder mittlerem Niveau. Über kurz oder lang taucht bei vielen solcher Inserate der Moderatorvermerk „gesperrt“ auf. Das bedeutet, dass der Anbeiter eine Person betrogen hat und der Moderator von diesem Kunden ein negatives Feedback erhalten hat. Da dadurch Misstrauen gegenüber den Anbietern entstehen kann, hat sich eine wichtige Position in der Cybercrime-Szene etabliert, die dem entgegen wirken soll: der so genannte Garant.

Garanten

Der Garant hat folgende Aufgabe: Er soll den potentiellen Käufern die Lieferung der Ware/Dienstleistung und den Verkäufern die Bezahlung seiner Leistung garantieren. Er ist unabhängig von beiden an einem Internetgeschäft beteiligten Parteien. Manchmal überprüft der Garant auch, ob die Waren oder Dienstleistungen den Anforderungen oder der in der Anzeige versprochenen Qualität entsprechen. Ein Verkäufer von Schadcode oder cyberkriminellen Dienstleistungen hat wesentlich bessere Chancen seine Produkte an den Mann zu bringen, wenn sie von einem namenhaften Garanten kontrolliert wurden. Garanten spielen auch beim Kauf und Verkauf von Botnetzen und deren Komponenten (z.B. Bots) eine Rolle.

In der Regel sind Garanten gleichzeitig Moderatoren einschlägiger Hackerforen. Dabei nimmt der Garant mehrere Positionen ein – er moderiert beispielsweise den Abschluss einfacher Vereinbarungen zwischen drei miteinander bekannten Personen, ist aber auch mit der formalen Beschreibung seiner eigenen Funktion und den Bedingungen des Geschäftsvertrags in pseudo-juristischem Stil beschäftigt.

Im Folgenden ist ein Auszug aus einer derartigen Vereinbarung zu finden, die die Aufgaben des Garanten und die Bezahlung seiner Dienste zum Inhalt hat:

Auf Webseiten, die mit Garanten arbeiten, finden sich oft Listen mit unterschiedlichen virtuellen Dienstleistungen oder Waren, die von Cyberkriminellen angeboten werden. Darunter finden sich auch Leistungen, die unter anderem für Botnetzbetreiber von großem Interesse sind, wie zum Beispiel die Verschlüsselung und das Packen von schädlichem Code, Browser-Exploits, Traffic, Hosting etc.

Verschlüsselung und Packen von Schadcode

Um eine Cyberattacke erfolgreich durchzuführen, bedarf es mehr, als ein einsatzbereites Schadprogramm zu entwickeln oder käuflich zu erwerben. Denn sobald dieser Schädling eingesetzt wird, kann er von Antiviren-Experten als Malware erkannt werden. Daher sind Verschlüsselungs- und Pack-Services von schädlichem Code sehr gefragt. Der Vorteil dabei: Die Entdeckung der ausführbaren Datei wird verhindert und so die Funktionalität des Schädlings bewahrt. In der russischen Cybercrime-Szene wird dieser Service „Kripta“ genannt, von dem englischen Wort „to encrypt“ (verschlüsseln).

Manchmal wird auch die Verschlüsselung konkreter Schadprogramm-Familien angeboten. Das hängt damit zusammen, dass die Antiviren-Anbieter mit heuristischer Erkennung für einzelne Familien arbeiten – ein Verfahren, das für Cyberkriminelle schwieriger zu umgehen ist als die Signatur-basierte Virenerkennung.

In der oben dargestellten Anzeige bietet der Inserent die Verschlüsselung eines unter dem Namen Zeus bekannten Bots sowie die Verschlüsselung jedes beliebigen anderen Schadcodes an. Die Chiffrierung von Zeus ist teurer, da sie exklusiv angeboten wird und Zeus nicht mit gängigen Programmen zur Verschlüsselung der ausführbaren Datei verschlüsselt werden kann.

Browser-Exploits

Exploits von Programmen waren schon immer wichtige Werkzeug in den Händen von Internetbetrügern, die Nachfrage nach Systemen des Typs ExploitPack ist bei Cyberkriminellen nach wie vor sehr stark. Derartige Systeme ermöglichen es, Besucher von Webseiten unbemerkt zu infizieren – einzige Voraussetzung: Der betroffene Anwender verwendet nicht-aktualisierte Software. Angriffsziele sind hier der Browser und dessen Komponenten (wie z.B. Adobe Flash).

Wurde das ExploitPack früher noch als Produkt verkauft, für das kein Service benötigt wurde, verlangen die Käufer heute technischen Support und System-Updates. Unten ist ein Forenbeitrag abgebildet, der detaillierte Beschreibungen der Merkmale und Funktionen des Exploitsystems Neon 1.0.2. enthält.


Gibt es einen neuen Exploit, steigt das Interesse an solchen Systemen. Dies kann zum Beispiel auch zu Preiserhöhungen führen. Eine derartige Entwicklung konnte man Ende des Jahres 2008 beobachten: Auf dem unten abgebildeten Screenshot erhöht der Entwickler von ExploitPack den Preis von 400 auf 500 Dollar und begründet dies mit der Integration eines Exploits für eine neue Sicherheitslücke, die im Microsoft Internet Explorer 7 entdeckt wurde.

„Traffic“

Unter „Traffic“ versteht man in der Cybercrime-Szene Anwenderanfragen, die von gehackten legalen Web-Ressourcen auf Seiten von Online-Betrüger weitergeleitet werden. Eine andere Art des „Traffics“ bezeichnet die Umleitung von Internetnutzern mit Hilfe von in Spam-Mails enthaltenen Links: Dieser Versand wird von den Kriminellen selbst organisiert, die Links leiten auf ihre eigenen Webseiten. Der Spamversand erfolgt per E-Mail oder über Instant-Messaging-Systeme (z.B. ICQ).

Zugriff auf die entsprechenden Internetseiten erhalten die Betrüger, indem sie gestohlene Logins und Passwörter zu den Seiten kaufen. Haben die Cyberkriminellen einmal Zugriff auf fremde Webressourcen, können sie diese mit Hilfe des HTML-Tags iframe auf ihre eigenen Websites umleiten.

Das Ergebnis einer solchen Änderung ist die Umadressierung der Besucher gehackter Webseiten auf jede beliebige Web-Ressource der Internetkriminellen. Wurden viele Seiten modifiziert oder gehackt, so können die Betrüger tausende Besucher umleiten. Mit Hilfe automatisierter Methoden ist es sogar möglich, bis zu mehrere tausend Webseiten pro Stunde entsprechend zu manipulieren.

Der oben abgebildete Screenshot enthält ein in einem entsprechenden Forum veröffentlichtes Verkaufsangebot von „Traffic“, inklusive Beschreibung und Preis der Leistung sowie Zahlungsbedingungen.

„Traffic“ ist insgesamt gesehen eine der billigsten Dienstleistungen im Bereich Cyberkriminalität, für die zwischen einem halben und einem Dollar für tausend Website-Besucher verlangt wird.

Die Inhaber von Botnetzen kaufen „Traffic“ und leiten so Anwender von gehackten legalen Webseiten auf Web-Ressourcen mit aktuellen Exploits um. War der Angriff auf den Browser erfolgreich, so wird der Computer des Website-Besuchers infiziert und er wird Teil des Zombie-Netzwerks.

Hosting

Ein weiterer Geschäftszweig im Cyberkriminellen-Business ist der Bulletproof-Hosting-Service. Die Inhaber derartiger Hosting-Plattformen kümmern sich nicht darum, welchen Inhalt ihre Kunden veröffentlichen und garantieren darüber hinaus sogar, dass sie Beschwerden von Besuchern und anderen Hosting-Providern ignorieren werden. Hier ein entsprechendes Angebot für die Registrierung von Bullet-Proof-Domains:


Das RBN, Russian Business Network, ist ein solcher Bulletproof-Hosting-Service. Das Netzwerk wurde Ende 2007 offline genommen und rief sowohl in Russland als auch in der westlichen Welt ein großes Medienecho hervor. Bis heute tauchen immer wieder ähnliche Services auf – im Netz finden sich Angebote sowohl für kleine als auch sehr große Bulletproof-Hosting-Plattformen.


Die Nachfrage nach Hosting-Providern dieser Art ist groß, dementsprechend steigen auch die Angebote. Einschlägige Foren sind voll von Verkaufsangeboten für Bulletproof-Hosting-Services. Und genau nach solchen Plattformen suchen Botnetzbetreiber, die das Steuerungszentrum ihres Zombienetzes in einer zuverlässigen Umgebung unterbringen wollen.

Die Kunden

Bisher ging es nur um die Anbieter von illegalen Waren und Dienstleistungen im Internet. Die Rolle der Käufer auf diesem Markt ist allerdings noch viel bedeutender. Denn die Käufer greifen die Internetanwender in großem Stil an und verschaffen sich Zugriff auf die Daten und Ressourcen der infizierten Rechner. Sie sind es, die den größten Nutzen aus cyberkriminellen Geschäften ziehen, indem sie zum Beispiel elektronische Währungen und Geldbeträge von fremden Kreditkarten abziehen. Diese Cyberverbrecher sind in der Regel Einzelgänger und stehen selten in Verbindung mit technisch versierteren Internetkriminellen, die schädlichen Code entwickeln.

Die wichtigsten Kategorien von an Botnetzen interessierten Kunden cyberkrimineller Dienstleistungen sind: Kreditkartenbetrüger, Erpresser sowie Spammer

Kreditkartenbetrüger

Eine der ersten Spielarten von Verbrechen im World Wide Web war das Carding – der Kreditkartenbetrug. Die so genannten „Carder“ verdienen ihr Geld mit Hilfe von gestohlenen Kreditkarten und gestohlenen Daten über die Kreditkarteninhaber. Diese Kategorie von Cyberkriminellen trifft sich in eigenen Foren und diskutiert dort organisatorische Fragen wie etwa Geldwäsche oder die Umwandlung von elektronischem Geld in Bargeld. Da es sich bei Kreditkartenbetrug um finanzielle Machenschaften handelt, sorgen sich die Carder mehr als andere Cyberkriminelle um ihre eigene Anonymität und Sicherheit.

Auf dem Screenshot oben sind die Themen eines typischen Carder-Forums dargestellt. In einem solchen Forum werden virtuelle Kreditkarten, bzw. die Kreditkartendaten sowie Informationen zum Kreditkarteninhaber, zum Verkauf angeboten. Auch wird über den Kauf realer Karten verhandelt – genauer gesagt über deren Duplikate. Virtuelle Kreditkarten werden im Cyberkriminellen-Jargon als „Karton“, reale Kreditkarten als „Plastik“ bezeichnet.

Bei Missbrauch von realen Kreditkarten stehlen die Betrüger das Geld direkt aus dem Bankautomaten. Damit die Bank nicht sofort Verdacht schöpft, hebt ein Mittelsmann das Geld in der Region ab, in der auch der Kreditkarteninhaber der Original-Karte wohnt.

Wenn Cyberkriminelle mit “Karton“ arbeiten, wird das Geld zuerst gewaschen. Für die Geldwäsche gibt es verschiedene Methoden:

  • Kauf realer Waren in realen Geschäften mittels virtueller Kreditkarten, mit dem Ziel die Ware schnell wieder zu verkaufen und so die Nachfrage durch eine Preissenkung zu fördern;
  • Einschaltung eines Online-Casinos, um die Gelder von den Kreditkarten auf andere Konten überweisen zu können;
  • Kauf von Waren in Online-Auktionshäusern, um diese dann zu einem geringeren Preis weiterzuverkaufen (möglicherweise sogar im gleichen Auktionshaus);
  • Miete einer Hosting-Plattform auf Kreditkarte und Weitervermietung dieser Plattform an andere Kunden zu sehr niedrigen Preisen.

Die Carder sind wiederum auf eine ganz bestimmte Dienstleistung angewiesen, nämlich die Fälschung verschiedenster Dokumente. Und auch diese Nachfrage wird auf dem virtuellen Markt befriedigt.

Werden elektronische Konten blockiert, fordern die Banken in der Regel Dokumentenkopien an, um die Identität des Kreditkarteninhabers auf diese Weise zu verifizieren. Allerdings wird praktisch jedes Dokument von Kriminellen gefälscht: Führerscheine, Pässe, Abrechnungen von Elektrizitätswerke und Telefongesellschaften, Diplome und sogar Kreditkarten.

Die Kreditkartenbetrüger spielen in der Welt der Cyberkriminellen eine bedeutende Rolle. Die Carder sind nämlich die großzügigsten Auftraggeber aller nur erdenklichen Programmentwicklungen, denn sie verfügen über mehr Geld als alle anderen Online-Betrüger. Ohne Botnetze würden den Kreditkartenbetrügern sehr viel weniger Kreditkartendaten in die Hände fallen. Da auch die Kreditkartenbetrüger ständig bemüht sind, ihr Geschäft auszuweiten, zahlen sie an denjenigen, der die meisten gestohlenen Karten zu bieten hat – und das sind in der Regel die Betreiber von Botnetzen.

Erpresser

Diese Kategorie von Cyberkriminellen ist vollständig auf Zombienetze angewiesen. Ihre einzige Aufgabe besteht darin, bestimmte Web-Ressourcen mit Hilfe von DDoS-Attacken außer Gefecht zu setzen. Die Erpresser fordern daraufhin Geld für die Einstellung der DDoS-Attacken. Die Auftraggeber von DDoS-Attacken veröffentlichen nur selten Anfragen, weil sie befürchten so direkt oder indirekt ihre eigene Anonymität zu verletzen. Allerdings finden sich während der Urlaubszeit im Sommer Internetanfragen, in denen potentielle Auftraggeber, die keine Angebote zur Durchführung von DDoS-Attacken finden konnten, offensiver nach einem Anbieter von DDoS-Attacken suchen.


Finde niemandem, über den ich eine DDoS-Attacke ordern kann. Sind alle irgendwohin verschwunden…
Brauche eine DDoS-Attacke für 2-4 Wochen werktags ab diesem Montag (möglich auch nur zwischen 9 und 21 Uhr). Zur Not auch späterer Start. Helfe, wer kann, bitte. Bezahlung über Garanten.
P.S.: Ihre DDoS-Attacke hilft der russischen Automobilindustrie. Das ist kein Scherz .-)

Spammer

Heutzutage gibt es derart viele Angebote zum Spam-Mail-Versand über gehackte Server, dass Interessierte sehr schnell fündig werden. Dennoch werden etwa 85 Prozent aller unerwünschten Nachrichten über Botnetze verschickt.

In der Regel werden Spammer für die Versendung von Werbung, die Umsatzsteigerung von Online-Shops oder die Akquise von Kunden in Online-Casinos bezahlt. Bei Botnetzbetreibern sind solche Kunden besonders beliebt, da dem von ihnen gezahlten Geld nicht der Verdacht des Diebstahls anhaftet.

Miete oder kaufe Botnetz
Ungefähr 500 Rechner.
Zum Spamversand.

Fazit

Botnetze haben großen Einfluss auf die Entwicklung der Cyberkriminalität. Zum einen fördern sie die Entwicklung verschiedener Services auf dem Cybercrime-Markt, denn Botnetzbetreiber gehören zu den besten Kunden von illegalen Dienstleistungen wie der Programmierung und Verschlüsselung von schädlichem Code, der Entwicklung und Pflege von Exploitsystemen, von Bulletproof-Hosting-Services und von „Traffic“. Zum anderen sind Spammer und Kreditkartenbetrüger auf Zombienetze angewiesen, um ihren kriminellen Machenschaften nachgehen zu können.

Botnetze vereinen in sich alle Elemente von Cyberkriminalität und fungieren als Schnittstelle für den reibungslosen Geldfluss zwischen den Kriminellen, die vom massenhaften Spamversand leben und Geld von den Konten der Anwender stehlen, und den Kriminellen, die Schadprogramme schreiben und illegale Dienstleistungen im Cyberspace anbieten.

Die cyberkriminelle Wirtschaft entwickelt sich spiralförmig. Die Entwickler von schädlichem Code und andere Dienstleister im cyberkriminellen Untergrund verkaufen ihre Waren und Services über einen Garanten an die Botnetzbetreiber. Diese wiederum bieten Kreditkartenbetrügern, Spammern und anderen Auftraggebern auf dem Zombienetzwerk basierende Dienstleistungen an. Haben die Entwickler von schädlichem Code genug Geld verdient, machen sie sich an die Entwicklung neuer Schädlinge, der Spiralprozess setzt sich fort. Dabei wird die Anzahl der Beteiligten mit jeder Umdrehung der Spirale größer: Die Auftraggeber sind bemüht, den Umsatz zu steigern. Gerüchte über gewinnbringende Entwicklungen von Schadprogrammen verbreiten sich über Hackerforen und andere Kommunikationskanäle.

Online-Betrüger können heute mit Hilfe von Botnetzen nicht nur auf ein oder zwei Rechner illegal zugreifen, sondern gleich auf hunderte und tausende Computer. Botnetze haben einen großen Einfluss auf die Zahl der im Internet begangenen Verbrechen. Den Zombienetzen ist es auch zu „verdanken“, dass die Anzahl der Opfer von Kreditkartendiebstahl sehr stark angestiegen ist. DDoS-Attacken sind zu etwas völlig Alltäglichem im Netz geworden und mit Hilfe eines Botnetzes kann selbst ein Schüler einen solchen Angriff organisieren.

Botnetze sind die Lebensader der cyberkriminellen Wirtschaft, sie sorgen für den Geldfluss zwischen den einzelnen Elementen und treiben die Entwicklung der Cyberkriminalität insgesamt voran. Die Zukunft des Internets hängt also auch davon ab, wie sich Botnetze zukünftig entwickeln.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.