Aufgabe 4 – Timeline
Du erstellst eine Timeline, die den Ablauf der Malware-Aktivität dokumentiert.
Dauer: 15 Minuten
Vorbereitung
Abschnitt betitelt „Vorbereitung“- Entferne alle Filter (leeres Filterfeld)
- Stelle das Zeitformat um:
View → Time Display Format → Seconds Since Beginning of Capture - Sortiere nach Zeit (Spalte “Time” anklicken)
Aufgaben
Abschnitt betitelt „Aufgaben“4.1 Schlüssel-Ereignisse identifizieren
Abschnitt betitelt „4.1 Schlüssel-Ereignisse identifizieren“Finde und notiere die Zeitpunkte für:
| Ereignis | Zeit | Beschreibung |
|---|---|---|
| Erstes DNS-Lookup | ? | Wann wird die verdächtige Domain erstmals aufgelöst? |
| Erster HTTP-Request | ? | Wann erfolgt die erste HTTP-Kommunikation? |
| Regelmässiges Beaconing | ? | Ab wann wiederholen sich die Requests? |
| Datenabfluss | ? | Gibt es POST-Requests mit Daten? |
4.2 Muster erkennen
Abschnitt betitelt „4.2 Muster erkennen“Frage: Welches Muster erkennst du im Ablauf?
Typischer Malware-Ablauf:
- DNS-Auflösung der C2-Domain
- Initialer Callback zum Server
- Regelmässiges Beaconing
- Gelegentliche Datenexfiltration
4.3 Timeline erstellen
Abschnitt betitelt „4.3 Timeline erstellen“Erstelle eine Timeline im folgenden Format:
| Zeit (s) | Ereignis ||----------|-------------------------------------|| 0.00 | DNS Query zu [Domain] || 0.02 | HTTP GET /[Pfad] || 30.01 | HTTP GET /[Pfad] || 60.00 | HTTP GET /[Pfad] || 90.00 | HTTP POST /[Pfad] (Datenabfluss) || ... | ... |4.4 Interpretation
Abschnitt betitelt „4.4 Interpretation“Frage: Was sagt die Timeline über das Verhalten der Malware aus?
Überlege:
- Wie schnell nach dem DNS-Lookup erfolgt der erste Callback?
- Wie regelmässig ist das Beaconing?
- Wann und wie oft werden Daten exfiltriert?
Für deinen Bericht
Abschnitt betitelt „Für deinen Bericht“- Timeline mit mindestens 5 Ereignissen
- Zeitpunkte relativ zum Start der Aufnahme
- Erkannte Muster beschrieben