Warum persistieren Botnetze?

Hallo,

wie kann es sein, dass Botnetze lange Zeit bestehen? Ich meine, sobald sie für kriminelle Aktionen genutzt werden, fallen selbige doch auf und die Besitzer der PCs müssten sich drum kümmern. Wenn mein Bankkonto geplündert wird, dann merke ich das. Wenn mein eMail-Adressbuch ausgelesen und an alle Freunde Spam geschickt wird, machen die mich drauf aufmerksam. Okay, eine DDoS-Attacke krieg ich vielleicht nicht mit, aber der Rest?

Und warum brauche ich eigentlich Tausende PCs, um Mail-Spam oder geposteten Spam zu generieren? Kann man das nicht genausogut von einem Server in einer Bananenrepublik aus tun? Geht es da einfach um Kapazitäten/Bandbreite?

Danke im Voraus
Mike

Diejenigen, die ihre Computer ungenügend schützen, sind die selben, die es auch nicht merken, wenn sie einen Zombie haben.
Kenne Fälle, da haben Benutzer selbst dann nichts gemacht und sich nur beschwert, als die Bank bei Ihnen angerufen hat, weil sie den Online-Zugang wegen offenkundigem Virenbefall gesperrt haben. Dito machen es auch Mail-Provider.

Sowas wir nur gemacht, wenn es sich lohnt. Dann ist halt einer von 100.000 Bots verbrannt.

Wenn es nicht gelingt, den Absender zu verschleiern. Ggf. ist dann auch ein Bot verbrannt, man hat aber vielleicht 10 neue dadurch.

Weil intelligente Anbieter Zugriffe aus Bananenrepubliken von vornherein auf geringe Datenrate drosseln und ggf. blocken. Angriffe aus einem bestimmten Netzsegment lassen sich schon automatisch abwehren. Sobald der Traffic ohne bekannten Grund die übliche Spanne verlässt, geht der Alarm los. (Auch das Fehlen von Traffic kann ja einen Angriff aufzeigen.)

Ja. Vielleicht haben Angreifer und Angegriffener beide Cloud-Kapazität beim gleichen Anbieter zugebucht. Wer großzügiger war, hat gewonnen.

Ciao, Allesquatsch

Hi,

danke, sehr brauchbare Antwort. Daraus ergeben sich neue Fragen:

Ach so, d.h. die e-Mail von der männersuchenden Olga oder das tolle Kreditangebot in meinem Postfach mit der osteuropäischen Absenderadresse kommt eventuell vom Rechner eines Bekannten?

Wie ist das überhaupt, sendet so ein Bot den Spam nur an die Adressen, die er auf dem jeweiligen Rechner findet oder an eine Liste, die er von außen mitbringt? Wenn er die von außen mitbringt, dann könnte ich, wenn ich merke, ich hab einen Zombie, mir die ja kopieren/auslesen? Mithin wäre ein Honeypot eine günstige Möglichkeit, an tausende eMail-Adressen zu kommen (ein Hacker klaut vom andern)?

Redest du jetzt noch von Spam oder von einer DDoS-Attacke?

Hallo

Angenommen, Du fängst Dir auf Deinem Rechner einen Schädling ein, der Deinen Rechner zum Teil eines Botnetzes macht. Das bedeutet, dass der Urheber des Schädlings Zugriff auf Deinen Rechner hat. Was er nun genau damit macht, merkst Du nicht.

Natürlich kann es sein, dass der Schädling auch die E-Mailadressen, die sich in Deinem Adressbuch befinden, unter den Nagel reisst. Aber Dein Beispiel ist wohl eher die Ausnahme. Es ist eher so, dass die Spambots allenfalls die Adressbücher der befallenen Rechner nutzen, aber auch anderer Quellen, z.B. Adresslisten, die der Auftraggeber des Spam vorgibt.

Falls durch einen Schädling Dein Bankkonto irgendwie geplündert wird, merkst Du das auch nur dann, wenn Du die Kontoauszüge sorgfältig überprüfst. Die Kriminellen, die sowas machen, achten darauf, allfällige Überweisungen so zu gestalten, dass sie kaum bis gar nicht auffallen. Indem sie pro Überweisung nur relativ kleine Beträge bewegen, um etwa bankinterne Systeme nicht auszulösen.

Dass Spam via Botnetz viel einfacher und besser zum Versenden geht, ist eigentlich logisch. Ein einzelner Server fällt viel schneller auf, wenn x-tausend Mails verschickt werden und landet entsprechend schneller auf Blacklisten. Wenn aber x-tausend normale PC Mails versenden, fällt das weniger schnell auf. Und wenn, ist es nahezu unmöglich, da eine wirklich grosse Zahl von Maschinen zu blacklisten, da die ja viele verschiedene Provider nutzen und sich somit die IP-Adressen auch entsprechend unterscheiden.

CU
Peter