Digitale Forensik
IT-Sicherheitsvorfall in ihrem Unternehmen? Wir sammeln gerichtsfeste und revisionssichere Beweise in ihrem Auftrag.
Gerichtsfeste und revisionssichere Beweismittelsicherung in Form eines forensischen Computerberichts.
- Unterstützung bei der Wiederherstellung, Analyse und Aufbewahrung von Daten sowie bei der Vorbereitung dieser als digitale Beweise für die Verwendung vor Gericht
-
Sicherstellung aller notwendigen Dateien, die z.B. für weitere Digital forensische Maßnahmen als Beweise benötigt werden
-
Wiederherstellung gelöschter oder versteckter Daten von digitalen Geräten, sofern diese Daten grundsätzlich vorhanden sind mittels File Carving
-
Beweismittelaufnahme auf der Basis des Locard‘schen Prinzips für die Ermittlung eines Verdächtigen und eines Motivs
-
Dateisicherung unter Einhaltung der Chain of Custody für die Integrität der digitalen Beweise
Vorgehensweise
1.
Die erste Stufe impliziert die Identifizierung von Untersuchungszielen und erforderlichen Ressourcen. Wir identifizieren zuerst die Beweise und die Art der Daten, mit denen wir es zu tun haben, auch die Geräte, auf denen die Daten gespeichert sind. Als Spezialisten für digitale Forensik arbeiten wir mit allen Arten von elektronischen Speichergeräten: Festplatten, Mobiltelefone, PCs, Tablets usw.
2.
In dieser Phase stellen wir sicher, dass die Daten isoliert und fachgerecht aufbewahrt werden. Dies passiert nach dem Never Touch Original Prinzip, sodass die Beweismittel gesichert werden und nur auf Images gearbeitet wird. Die gesicherten Original Geräte bleiben bis zum Ende der Ermittlungen unberührt.
3.
Die Analysephase umfasst eine gründliche systematische Suche nach relevanten Beweisen. Wir arbeiten sowohl mit System- als auch mit Benutzerdateien und Datenobjekten. Basierend auf den gefundenen Beweisen beginnen wir nun mit Schlussfolgerungen.
4.
In dieser Phase werden alle gefundenen relevanten Beweise dokumentiert. Es wird eine Why-Because-Analyse zur Verfügung gestellt, welche den Behörden bei der Ermittlung neue Impulse gibt.
5.
In der Endphase werden alle Beweise und Schlussfolgerungen gemäß den forensischen Protokollen gemeldet, die die Methoden und Verfahren der Analyse und deren Erläuterungen enthalten.
Vielseitig einsetzbar: Ob zur Klärung der Schuldfrage vor Gericht, gegenüber ihrer Geschäftspartner oder zur Vorlage bei ihrem Versicherer.
Wir verwenden unter anderem folgende Techniken:
Timeline-Analyse:
• Auflistung von Systemereignissen nach Zeit, um die Identifizierung von Aktivitäten zu erleichtern
Schlüsselwortsuche:
• Mit Textextraktions- und Indexsuchmodulen können wir Dateien finden, die bestimmte Begriffe beinhalten oder unseren regulären Ausdrucksmustern entsprechen (RegEx)
Webartefakte:
• Wir extrahieren Webaktivitäten aus gängigen Browsern, um Benutzeraktivitäten zu identifizieren
Registrierungsanalyse:
• Kürzlich aufgerufene Dokumente und USB-Geräte können so identifiziert werden
LNK-Dateianalyse:
• Identifizierung von Verknüpfungen und aufgerufenen Dokumenten
E-Mail-Analyse:
• Analyse von Nachrichten, die auf dem System identifiziert wurden
EXIF-Daten:
• Extrahiert Standort- und Kamerainformationen aus JPEG-Dateien
Dateisystemanalyse:
• Unterstützung für gängige Dateisysteme, einschließlich NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2
Unicode String Extraction:
• Extraktion von Strings aus nicht zugeordnetem Speicherplatz und von unbekannten Dateitypen in allen gängigen Sprachen
Dateityperkennung:
• Basierend auf Signaturen indexieren wir das System und erkennen nicht übereinstimmende Erweiterungen, wie es z.B. bei Schadsoftware der Fall ist
Android und iOS System-Analyse:
• Extrahieren von Daten unter anderem aus SMS, Anrufprotokollen, Kontakten, Tango und mehr
Konkrete Usecases
Grundlegende Analyse
Durch das Interpretieren von Zeichenfolgen, dem Untersuchen von Windows-API-Aufrufen oder Identifizieren von gepackter Malware und dem Erkennen von hostbasierten Signaturen verschaffen wir uns einen ersten Überblick. Anschließend bringen wir die Malware in einer kontrollierten Umgebung zur Explosion, um Netzwerksignaturen zu sammeln und bösartige Domänen und Payloads der zweiten Stufe zu identifizieren.
Analyse der Malware in x86-Assemblersprache
Durch die x86-Assemblierung können wir nun erweiterte Analysen durchführen. Hierzu verwenden wir Tools wie Cutter und x32dbg, um wichtige Einblicke in die Malware auf der niedrigstmöglichen Ebene zu erhalten. Durch das Steuern des Ausführungsablaufs der Malware und der Bearbeitung seiner Low-Level-Anweisungen in einem Debugger erhalten wir nun alle Möglichkeiten zur erweiterten Analyse.
Dokumente
Auch bösartige Dokumente und von Dokumenten bereitgestellte Malware wird von unseren Experten analysiert, einschließlich bösartiger Makros und Remote-Vorlageninjektionen.
Eingebetteter Shellcode kann ebenfalls durch uns identifiziert und herausgearbeitet werden. Identifizierung auch bei skriptgesteuerten oder verschleierten Malware-Bereitstellungstechniken.
Weitere Tätigkeitsfelder:
- Dekompilieren und Reverse Engineering von C#-Assemblys und Reverse Engineering des .NET Frameworks sowie Analyse von in Go geschriebener Malware
- Zurückentwickeln von verschlüsselten Malware-C2-Droppern
- Bösartige Android und iOS-Anwendungen zurückentwickeln
- Schreiben von YARA-Regeln, um die Erkennung von Malware-Beispielen zu unterstützen
Ihre Ansprechpartner
Uns erreichen Sie immer persönlich. Weil uns partnerschaftliche Treue weitaus wichtiger ist als kurzfristiger Erfolg.
Philipp Kalweit
Geschäftsführender Gesellschafter
+49 40 285 301 257
Philipp Kalweit ist erfahrener IT-Sicherheitsberater zu den Themen Security Awareness und offensive IT-Revision. Als Director Strategy & Consulting ist er für die Unternehmensstrategie sowie den Advisory- bzw. Consulting-Bereich verantwortlich. Seit sechs Jahren berät und prüft er Kunden aus dem Mittelstands- und Konzernumfeld, insbesondere EZB- und BaFin-regulierte Organisationen sowie Konzerne im Einzelhandel. Sein Beratungsschwerpunkt liegt in der holistischen IT-Sicherheit. Für seine Arbeit wurde er 2019 durch DIE ZEIT als „Hamburger des Monats“ geehrt und im gleichen Jahr in die Forbes „30 under 30 DACH“-Liste aufgenommen.
Günther Paprocki
Geschäftsführender Gesellschafter
+49 40 285 301 258
Seit Mai 2024 ist Dipl.-Wirtschaftsingenieur Günther Paprocki geschäftsführender Gesellschafter bei der KALWEIT ITS. Als Director HR & Operations ist er für das operative Geschäft sowie den Bereich Personal verantwortlich. Von seinen Stationen bei Sharp, Philips und Cisco bringt er frischen Wind in unser Beratungshaus. Ob im Bereich Photovoltaik, E-Mobilität oder das erste Mobilfunknetz in Deutschland – Günther Paprocki war in der Vergangenheit immer in zukunftsweisenden Branchen tätig. Seine jetzige Mission: Cybersecurity in Deutschland stark machen.