IT Sicherheit – frischer Wind
IT security – a breath of fresh air
Sécurité informatique – un vent de fraîcheur
Seguridad informática – un soplo de aire fresco
Hacker sind kreativ und finden immer neue Wege in Unternehmen einzudringen. Um Angreifern weiterhin einen Schritt voraus zu sein, braucht es immer wieder neue Ideen.

KALWEIT ITS – Wir bringen frischen Wind.
Hackers are creative and always find new ways to penetrate companies. To stay one step ahead of attackers, new ideas are always needed.

KALWEIT ITS – We bring a breath of fresh air.
Les pirates informatiques sont créatifs et trouvent toujours de nouveaux moyens de s'introduire dans les entreprises. Pour garder une longueur d'avance sur les attaquants, il faut sans cesse de nouvelles idées.

KALWEIT ITS – Nous apportons un vent de fraîcheur.
Los hackers son creativos y siempre encuentran nuevas formas de penetrar en las empresas. Para estar un paso por delante de los atacantes, siempre se necesitan nuevas ideas.

KALWEIT ITS – Traemos un soplo de aire fresco.

Digitale Forensik

IT-Sicherheitsvorfall in ihrem Unternehmen? Wir sammeln gerichtsfeste und revisionssichere Beweise in ihrem Auftrag.

Gerichtsfeste und revisionssichere Beweismittelsicherung in Form eines forensischen Computerberichts.

 

  • Unterstützung bei der Wiederherstellung, Analyse und Aufbewahrung von Daten sowie bei der Vorbereitung dieser als digitale Beweise für die Verwendung vor Gericht

 

  • Sicherstellung aller notwendigen Dateien, die z.B. für weitere Digital forensische Maßnahmen als Beweise benötigt werden

 

  • Wiederherstellung gelöschter oder versteckter Daten von digitalen Geräten, sofern diese Daten grundsätzlich vorhanden sind mittels File Carving

 

  • Beweismittelaufnahme auf der Basis des Locard‘schen Prinzips für die Ermittlung eines Verdächtigen und eines Motivs

 

  • Dateisicherung unter Einhaltung der Chain of Custody für die Integrität der digitalen Beweise

Vorgehensweise

1.

Die erste Stufe impliziert die Identifizierung von Untersuchungszielen und erforderlichen Ressourcen. Wir identifizieren zuerst die Beweise und die Art der Daten, mit denen wir es zu tun haben, auch die Geräte, auf denen die Daten gespeichert sind. Als Spezialisten für digitale Forensik arbeiten wir mit allen Arten von elektronischen Speichergeräten: Festplatten, Mobiltelefone, PCs, Tablets usw.

2.

In dieser Phase stellen wir sicher, dass die Daten isoliert und fachgerecht aufbewahrt werden. Dies passiert nach dem Never Touch Original Prinzip, sodass die Beweismittel gesichert werden und nur auf Images gearbeitet wird. Die gesicherten Original Geräte bleiben bis zum Ende der Ermittlungen unberührt.

 

3.

 Die Analysephase umfasst eine gründliche systematische Suche nach relevanten Beweisen. Wir arbeiten sowohl mit System- als auch mit Benutzerdateien und Datenobjekten. Basierend auf den gefundenen Beweisen beginnen wir nun mit Schlussfolgerungen.

 

4.

 In dieser Phase werden alle gefundenen relevanten Beweise dokumentiert. Es wird eine Why-Because-Analyse zur Verfügung gestellt, welche den Behörden bei der Ermittlung neue Impulse gibt.

 

5.

In der Endphase werden alle Beweise und Schlussfolgerungen gemäß den forensischen Protokollen gemeldet, die die Methoden und Verfahren der Analyse und deren Erläuterungen enthalten.

 

Vielseitig einsetzbar: Ob zur Klärung der Schuldfrage vor Gericht, gegenüber ihrer Geschäftspartner oder zur Vorlage bei ihrem Versicherer.

Wir verwenden unter anderem folgende Techniken:

Timeline-Analyse:

• Auflistung von Systemereignissen nach Zeit, um die Identifizierung von Aktivitäten zu erleichtern

Schlüsselwortsuche:

• Mit Textextraktions- und Indexsuchmodulen können wir Dateien finden, die bestimmte Begriffe beinhalten oder unseren regulären Ausdrucksmustern entsprechen (RegEx)

Webartefakte:

• Wir extrahieren Webaktivitäten aus gängigen Browsern, um Benutzeraktivitäten zu identifizieren

Registrierungsanalyse:

• Kürzlich aufgerufene Dokumente und USB-Geräte können so identifiziert werden

LNK-Dateianalyse:

• Identifizierung von Verknüpfungen und aufgerufenen Dokumenten

E-Mail-Analyse:

• Analyse von Nachrichten, die auf dem System identifiziert wurden

EXIF-Daten:

• Extrahiert Standort- und Kamerainformationen aus JPEG-Dateien

Dateisystemanalyse:

• Unterstützung für gängige Dateisysteme, einschließlich NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2

Unicode String Extraction:

• Extraktion von Strings aus nicht zugeordnetem Speicherplatz und von unbekannten Dateitypen in allen gängigen Sprachen

Dateityperkennung:

• Basierend auf Signaturen indexieren wir das System und erkennen nicht übereinstimmende Erweiterungen, wie es z.B. bei Schadsoftware der Fall ist

Android und iOS System-Analyse:

• Extrahieren von Daten unter anderem aus SMS, Anrufprotokollen, Kontakten, Tango und mehr

 

Konkrete Usecases

Grundlegende Analyse

 

Durch das Interpretieren von Zeichenfolgen, dem Untersuchen von Windows-API-Aufrufen oder Identifizieren von gepackter Malware und dem Erkennen von hostbasierten Signaturen verschaffen wir uns einen ersten Überblick. Anschließend bringen wir die Malware in einer kontrollierten Umgebung zur Explosion, um Netzwerksignaturen zu sammeln und bösartige Domänen und Payloads der zweiten Stufe zu identifizieren.

 

Analyse der Malware in x86-Assemblersprache

 

Durch die x86-Assemblierung können wir nun erweiterte Analysen durchführen. Hierzu verwenden wir Tools wie Cutter und x32dbg, um wichtige Einblicke in die Malware auf der niedrigstmöglichen Ebene zu erhalten. Durch das Steuern des Ausführungsablaufs der Malware und der Bearbeitung seiner Low-Level-Anweisungen in einem Debugger erhalten wir nun alle Möglichkeiten zur erweiterten Analyse.

Dokumente

 

Auch bösartige Dokumente und von Dokumenten bereitgestellte Malware wird von unseren Experten analysiert, einschließlich bösartiger Makros und Remote-Vorlageninjektionen.

Eingebetteter Shellcode kann ebenfalls durch uns identifiziert und herausgearbeitet werden. Identifizierung auch bei skriptgesteuerten oder verschleierten Malware-Bereitstellungstechniken.

 

Weitere Tätigkeitsfelder:

 

  • Dekompilieren und Reverse Engineering von C#-Assemblys und Reverse Engineering des .NET Frameworks sowie Analyse von in Go geschriebener Malware
  • Zurückentwickeln von verschlüsselten Malware-C2-Droppern
  • Bösartige Android und iOS-Anwendungen zurückentwickeln
  • Schreiben von YARA-Regeln, um die Erkennung von Malware-Beispielen zu unterstützen

Ihre Ansprechpartner

Uns erreichen Sie immer persönlich. Weil uns partnerschaftliche Treue weitaus wichtiger ist als kurzfristiger Erfolg.

Dipl-Inf. Georg Koch

Dipl-Inf. Georg Koch

Senior Business Partner

 

+49 40 285 301 252

hello@kalwe.it

Dipl.-Informatiker Georg Koch ist Senior Business Partner bei KALWEIT ITS und verantwortet auf strategischer Ebene internationale wie nationale Projekte im Mittelstands- und Konzernumfeld. Er verfügt über 30 Jahre Berufserfahrung in den Bereichen IT, Telekommunikation und Energie, beispielsweise aus dem mittleren Management mit europäischer Verantwortung bei Sharp Electronics, Philips, Shell Solar sowie als ehem. Geschäftsführer eines IT-Unternehmens (160 Mitarbeiter, über 50 Mio. Euro Umsatz).

 

Philipp Kalweit

Philipp Kalweit

Geschäftsführer

 

+49 40 285 301 257

hello@kalwe.it

Philipp Kalweit ist erfahrener IT-Sicherheitsberater zu den Themen Security Awareness und offensive IT-Revision. Seit sechs Jahren berät und prüft er Kunden aus dem Mittelstands- und Konzernumfeld, insbesondere EZB- und BaFin-regulierte Organisationen sowie Konzerne im Einzelhandel. Sein Beratungsschwerpunkt liegt in der holistischen IT-Sicherheit. Für seine Arbeit wurde er 2019 durch DIE ZEIT als „Hamburger des Monats“ geehrt und im gleichen Jahr in die Forbes „30 under 30 DACH“-Liste aufgenommen.

 

Bei dringenden Fällen:

Sie erreichen uns Montags bis Freitags von 07:30 Uhr bis 19:00 Uhr unter +49 40 285 301 250 (auch an Feiertagen) oder außerhalb userer telefonischen Erreichbarkeit per Mail (hello@kalwe.it). Wir bitten die Dringlichkeit im Betreff kenntlich zu machen.