Botnet
Der Begriff „Botnet“ setzt sich aus den Wörtern „Roboter“ und „Netzwerk“ zusammen und bezeichnet eine Gruppe von Computern (die „Bots“), die miteinander und mit ihren Command-and-Control-Servern (C&C) kommunizieren.
In der IT-Sicherheit bezeichnet man Computer als Bots, wenn deren Sicherheitsvorkehrungen verletzt wurden. Auf ihnen wird bösartige Software ausgeführt, mit der Angreifer sie ohne Zustimmung der Eigentümer oder der rechtmäßigen Betreiber des Computers steuern können. Heimcomputer werden oft auf diese Weise kompromittiert, aber Bots wurden auch in Schul-, Geschäfts- und Regierungscomputern gefunden. Manchmal werden jedoch auch kompromittierte Server als Bots verwendet. So entdeckten ESET Forscher beispielsweise eine umfangreiche und ausgeklügelte Operation namens „Windigo“, bei der eine organisierte Gruppe von Kriminellen mehr 25.000 einzelne Linux- und UNIX-Server kompromittiert hatte.
Botnets werden meistens verwendet, um Spam zu generieren, andere Malware (einschließlich Kopien von sich selbst) zu verbreiten oder um ein Netzwerk oder einen Webserver mit übermäßigen Anfragen zu überlasten und so in die Knie zu zwingen (Denial-of-Service-Angriff, DDoS). Botnets wurden auch schon für Phishing, die Übermittlung gestohlener Daten und andere Finanzdelikte eingesetzt.
Die größten Botnets bestehen aus Millionen von Computern und stellen eine ernsthafte Bedrohung dar. Nach den Branchenschätzungen, die Joseph Demarest, stellvertretender Direktor der Cyber-Abteilung des FBI, bei seiner Aussage vor dem Justizausschuss des Senats, Unterausschuss für Kriminalität und Terrorismus am 15. Juli 2014 zitierte, haben Botnets mehr als neun Milliarden US-Dollar an Verlusten bei US-Opfern und mehr als 110 Milliarden US-Dollar an Verlusten weltweit verursacht. Jedes Jahr werden weltweit etwa 500 Millionen Computer infiziert.
Daher arbeiten nationale und internationale Strafverfolgungsbehörden mit führenden Sicherheitsunternehmen zusammen, um Botnetze zu stören, indem sie deren C&C-Server und Domänen beschlagnahmen. Ein Beispiel für eine solche Störung war die gemeinsame Aktion zahlreicher Sicherheitsbehörden, darunter FBI, Interpol, Europol, Microsoft und ESET, gegen die Dorkbot-Botnetze im Dezember 2015.
ESET verwendet eine Botnet-Erkennungstechnologie, die die ausgehende Netzwerkkommunikation nach bekannten bösartigen Mustern durchsucht und die Remote-Site mit einer bekannten Blacklist abgleicht. Jede erkannte bösartige Kommunikation wird blockiert und dem Benutzer sowie optional ESET gemeldet.