Een botnet is een verbinding van aan elkaar gekoppelde computers die onder controle van een zogenoemde botmaster vallen en zonder medeweten en toestemming van de eigenaren van de afzonderlijke pc’s door de botmaster op afstand kunnen worden bestuurd. De geïnfecteerde computers noemt men zombies.

 

De botmaster kan de gecontroleerde en gekaapte pc’s voor talrijke doeleinden misbruiken. Omdat hij toegang tot de afzonderlijke computers krijgt alsof hij er zelf fysiek achter zit, is zowel de toegang tot de op de betreffende systemen opgeslagen gegevens als ook het ongemerkte gebruik van de netwerkverbinding van de computer mogelijk.

 

Hieruit ontstaan veelzijdige mogelijkheden. Naast gegevensdiefstal maakt de toegang tot de gekaapte pc’s ook het verhullen van de identiteit van de aanvaller mogelijk, doordat de overgenomen computers (bots) als proxy worden gebruikt. Afhankelijk van de grootte van het botnet kan de dader in een extreem geval elke seconde zijn IP-adres veranderen en via de netwerkverbinding van het slachtoffers verdere illegale acties starten. Bovendien zijn de op afstand bestuurde computers zowel geschikt voor de verdere verspreiding van de schadelijke botcode als voor een massale spamverzending.

 

Wanneer men de grootte van typische botnets bekijkt, die enkele honderden tot meerdere honderdduizenden geïnfecteerde machines kan beslaan, wordt nog een ander toepassingsgebied van de botnetlegers duidelijk. Namelijk de inzet van het botnet voor de uitvoering van een zogenoemde DDoS-aanval (Distributed Denial of Service). Hierbij worden “niet-populaire” web- of mailservers met massale aanvragen overstelpt. Met een voldoende groot aantal zombies kan de server op deze manier in het ergste geval op grond van een overbelasting volledig buiten werking worden gesteld. Criminele vervolgdelicten zoals chantage voor beschermgeld zijn zo gemakkelijk uit te voeren.

 

Populair is bovendien de inzet van de zombie-pc’s als web- of FTP-server. Dit kan voor verschillende doeleinden worden gebruikt. Enerzijds voor de beschikbaarstelling van besmette websites ten behoeve voor het achterhalen van aanvullende gegevens, anderzijds kunnen de systemen van de nietsvermoedende slachtoffers als opslagmedium voor porno, roofkopieën enz. dienen.

 

Het beheer en de coördinatie van de mogelijk wereldwijd verdeelde zombiecomputers kan op verschillende manieren plaatsvinden. Terwijl bij de eerste botnets nog centrale Command- and Control-servers werden gebruikt, worden intussen steeds vaker decentrale communicatiestructuren gebruikt die lijken op de uit ruilbeurzen bekende P2P (peer-to-peer)-netwerken. Dit bemoeilijkt de stopzetting van een botnet, omdat er geen sprake is van een centrale server die kan worden uitgeschakeld en waarmee in één keer het volledige botnet kan worden gedeactiveerd. In plaats daarvan communiceren alle zombies rechtstreeks met elkaar, waardoor het botnet aanzienlijk stabieler is.

 

Botnets kunnen op verschillende manieren nieuwe zombies rekruteren. Naast de verspreiding via een geïnfecteerde e-mail kunnen ook populaire, door hackers overgenomen websites tot de groei van een botnet bijdragen, doordat veiligheidshiaten in het besturingssysteem of in de toepassingssoftware worden gebruikt en de besmetting quasi “tijdens het voorbijgaan (zogenoemde drive-by-infection)” plaatsvindt. Een bezoek aan de van schadelijke code voorziene website is al voldoende om een besmetting op te lopen.

 

Botnets zijn uitgegroeid tot één van de grootste illegale inkomstenbronnen van het internet. Enerzijds door de massa aan verkregen gegevens uit de slachtoffercomputers, anderzijds door het verhuur van de botnetcapaciteiten aan derden op uur- of maandbasis of tegen een vaste prijs, bijvoorbeeld aan de hand van het aantal via het botnet verzonden spammails.