Malware Lab – Einführung

Lernziele

Nach diesem Lab kannst du:

• Command & Control (C2) Traffic in Wireshark erkennen
• DNS- und HTTP-basiertes Beaconing identifizieren
• Eine Timeline eines Malware-Vorfalls rekonstruieren
• Indicators of Compromise (IoCs) ableiten
• Grundlegende IDS-Regeln formulieren

Szenario

Du bist Security Analyst in einem Unternehmen. Ein Rechner verhält sich verdächtig – er kommuniziert regelmässig mit einem externen Server. Deine Aufgabe:

1. Analysiere den Netzwerkverkehr
2. Finde heraus, was passiert
3. Dokumentiere deine Erkenntnisse
4. Leite Massnahmen ab

Hinweis

Der Traffic in der PCAP-Datei ist simuliert und harmlos. Es handelt sich um eine Übung.

Vorbereitung

1. Wireshark installieren (falls noch nicht vorhanden)

   • Download: wireshark.org/download.html

2. PCAP-Datei herunterladen

   • training_c2.pcap (wird von der Lehrperson bereitgestellt)

3. PCAP in Wireshark öffnen

   • File → Open → training_c2.pcap

Aufgaben

Aufgabe 1

Überblick verschaffen (10 Min)

Welche Protokolle, IPs und Ports siehst du?

Zur Aufgabe →

Aufgabe 2

DNS-Analyse (15 Min)

Untersuche die DNS-Anfragen.

Zur Aufgabe →

Aufgabe 3

HTTP-Traffic (20 Min)

Analysiere die HTTP-Kommunikation.

Zur Aufgabe →

Aufgabe 4

Timeline (15 Min)

Rekonstruiere den Ablauf.

Zur Aufgabe →

Aufgabe 5

Detection & Mitigation (15 Min)

Leite IoCs und Massnahmen ab.

Zur Aufgabe →

Zeitplan

Aufgabe	Thema	Dauer
1	Überblick	10 Min
2	DNS-Analyse	15 Min
3	HTTP-Traffic	20 Min
4	Timeline	15 Min
5	Detection	15 Min
Total		~75 Min