a) CinCan-työpaja. Raportoi CinCan-työpajan harjoitus. Tämän raportin voi kirjoittaa jälkikäteen muistista. Voit työpajan aikana laittaa ylös komentoja ja avainsanoja, mutta keskity harjoituksiin ja seuraamiseen. Muista merkitä raporttiisi, että se on jälkikäteen muistinvaraisesti kirjoitettu.
Tuossa oli kyseinen tehtävänanto, ja kuten tuossa on sanottukkin, tämä on kirjoitettu esityksen jälkeen muistista, enkä ottanut esityksen aikana ylös muistiinpanoja.
Esityksen flow oli aika simppeli: eka hieman teoriaa diaesityksen avulla missä puhuttiin cincanista ja siitä minkälaisia tapauksia workshopissa on. Sen jälkeen varmistimme että kaikilla toimii cincan oikein cincan run cincan/volatility komennon avulla. Itselläni dockerilla ei ollut oikeita käyttöoikeuksia, mutta ratkaisin sen. Tämän jälkeen pääsimme tekemään hieman workshoppia, josta itse ehdin tehdä osan yhdestä tehtävästä ja sitten lopuksi esittäjä näytti meille miten muut tehtävät tehtäisiin.
Cincan on siis työkalu jolla voidaan analysoida esimerkiksi haittaohjelmia, mutta se menee sitäkin pidemmälle, sillä sen avulla pystyy analysoimaan hyökkäyksiä ylipäätään kuten vaikka phishing sähköposteja. Muistan että cincanissa oli työkalu millä pystyimme ensinnäkin tiedustelemaan turvallisesti phishing siteä ottamalla esimerkiksi sen lähdekoodi ja parit screenshotit siitä, miltä sivusto näyttää. Tämä vaikutti erittäin hyödylliseltä työkalulta epäilyttävien sivustojen tarkistamista varten. Cincan on kuitenkin kohtuullisen haastava pelkästään asentaa, eikä se toimi tässä kohtaa ihan niin hyvin, vaan bugeja on paljon. Esityksessä jäi hieman harmittamaan se, että esittäjä ei vaikuttanut itsekkään aina tietoiselta siitä, että miten asiat toimivat tai miten teemme jonkun asian X, ja osa esitetyistä asioista meni kokonaan ohi, ainakin itseltäni. Työpajassa oli kolme esimerkki tapausta mitä pystyimme yrittämään ratkoa: android APK haittaohjelma, phishing email tapaus ja hieman vaikeampi memory dump ongelma (tai jotain memoryyn liittyvää, unohdin hieman sillä sitä ei käsitelty niin paljoa).
Työpajassa esiteltiin myös muita työkaluja joilla pystyttiin esim lukemaan haittaohjelmien lähdekoodia ja päättelemään siitä erilaisia asioita. Mielestäni yksi esimerkki oli ransomware tyyppinen ohjelma joka käytti AES-enkryptausta, mutta koodista löytyi esimerkiksi decryptaus avain jolla olisimme pystyneet decryptaamaan tiedostot vaikka tämä ransomware olisi niihin päässyt käsiksi. Sillä tavalla uskon, että ohjelmasta olisi kyllä huomattavaa apua. Myös työkaluja on hyvin monenlaisia, ja itse pääsin kokeilemaan vain pientä murto-osaa niistä työpajan aikana (teimme työpajassa lähinnä vain yhtä esimerkkiä, loput näytettiin). Taas pieni valitus esittämisestä: kun olin itse yrittänyt ratkaista tiettyä kohtaa ja mielestäni ymmärsin mitä siinä tehtiin ja pääsinkin aika pitkälle, seuraavaksi kun esittelijä näytti miten se tehdään hän käytti monimutkaisia komentoja joita ei oikeastaan selitetty laisinkaan. Esitys ja työpaja oli muuten oikein passeli ja tykkäsin tutustua cincaniin, mutta esitys itsessään ei ollut kauhean hyvä.
Esityksestä jäi kuitenkin semmoinen mielikuva ainakin itselleni että uskon että cincanista voisi olla tulevaisuudessa itselleni hyötyä. Sitä pitää vain hieman parantaa, sillä tällä hetkellä se on hieman turhan hankala niin sanotusti, mutta käsittääkseni se olikin vielä hieman beta versiossa.
b) Omat CinCanit. Kokeile Cincania itse. Voit käyttää opettuja ominaisuuksia uuteen, itse valitsemaasi näytteeseen. Tai voit kokeilla uutta ominaisuutta vanhaan näytteeseen.
Ajattelin tässä kokeilla vanhoihin näytteisiin jotain uutta työkalua. Löysin cincan toolsit tältä sivulta: https://cincan.io/tools/ (Lähde 1). Olen tallentanut workshopissa näytetyt näytteet kansioon /home/caius/malware_analysis/workshops/Haaga-Helia. Tässä oli myös pari muuta workshoppia jotka on näköjään CRIM ja disobeyta varten. Kokeilen nyt ensin näihin Haaga-Helia workshop juttuihin, ja jos en löydä jotain järkevää kokeiltavaa niin vaihdan noihin muihin näytteisiin.
Haluaisin tehdä jotain lisää tuolla phishing-sähköpostilla jota kävimme workshopissa läpi. Käytin ainakin headless thunderbirdiä, joten kokeilen etsiä jotain muuta sopivaa cincanin tools sivulta.
Löysin sellaisen kuin virustotal, ja ajattelin kokeilla sitä yhtä urlia vastaan jonka löysin aiemmin phishing taskia suorittaessani. Kyseinen url siis http://money.cincan.io/www.banking.com/banking.html . Voin käyttää virustotalia komennolla virustotal “url” eli
virustotal.py http://money.cincan.io/www.banking.com/banking.html
Ennen tätä haetaan kuitenkin virustotal. Tämä hoituu komennolla “cincan run cincan/virustotal“. Nyt meillä on se, ja se kertoo että virustotalia voi käyttää syntaxilla “virustotal.py”.
Näköjään syntaksti oli silti väärin. Sain sen “toimimaan” komennolla
cincan run cincan/virustotal --url_file susp_link --output susp_link_output
mutta valitettavasti tarvitsen jonkinlaisen API keyn tätä käyttäekseni. En jaksanut alkaa säheltämään, joten halusin kokeilla jotain toista työkalua. Löysin toisen samanlaisen työkalun, jolla koitin tehdä täsmälleen samaa eli siis skannata tämän kyseisen urlin, ja tämän työkalun nimi oli jsunpack-n. Käytin sitä komennolla
cincan run cincan/jsunpack-n -u http://money.cincan.io/www.banking.com/banking.html -d url_skan -V
Tämä yritti skannata kyseistä osoitetta, mutta tässä osoitteessa ei ollut javascriptiä joten mitään ikävää skriptiä ei löydetty. Kävin vielä katsomassa output filen, ja se oli laittanut sivuston lähdekoodin tähän kyseiseen tiedostoon, eli olisimme itse voineet lukea mitä siellä oikeen tapahtuu. Kyseessä oli kuitenkin pelkästään phishing sivusto, se ei yrittänyt mitään malicious koodinpätkää. Pääsin kuitenkin kokeilemaan muitakin työkaluja. Tuo jsunpack-n vaikuttaa ihan hyödylliseltä tiedostojen ja urlien tutkimiseen turvallisesti.
c) Arviosi CinCanista. Mikä CinCanissa on parasta? Missä voisit hyödyntää sitä (töissä, harrastuksissa, koulussa…)? Suosittelisitko CinCania? Kenelle? Miten CinCania voisi parantaa?
Cincan vaikuttaa erittäin lupaavalta, ja uskon että jos kaikki menee sen kehityksessä hyvin niin siitä voi tulla erittäin monikäyttöinen työkalu tietoturvan ammatilaisille. Tällä hetkellä isoimmat valitukseni ovat että cincan vaikuttaa olevan hyvin beta-vaiheessa. Se on vaikea asentaa, sitä on vaikea käyttää, ja se on hieman sekava. Se ei tunnu valmiilta ohjelmalta. Mutta oletan että tämä parantuu samalla kun cincania työstetään. Itse näkisin käyttäväni tätä harrastusten parissa, eli tietoturvan. Tämä voisi olla hyödyllinen työkalu monessa eri paikassa, kuten vaikka esimerkiksi CTF-pelejä tehdessä.
Suosittelisin cincanin kokeilemista tietoturvan ammattilaisille ja viruksista yms. kiinnostuneille, sillä se vaikuttaa hyvin lupaavalta työkalulta. Itse en ole vielä varma käyttäisinkö, en ole päässyt näkemään mihin kaikkeen cincan vielä pystyy, mutta se vaikuttaa erittäin voimakkaalta työkalulta. Haluaisin vain sen hieman enemmän polished tilaan ennenkuin lähtisin ylistämään sitä, koska tämän ohjelmiston asennus on jo semmoinen seikkailu että tarvitset luultavasti ihan uuden virtual machineenkin jossa on vaaditut järjestelmävaatimukset. Kyllä cincan silti vaikuttaa olevan ihan käytettävässä tilassa jo, joten sitä voi käyttää mikäli sille löytää jonkin erityisen hyvän käyttökohteen.
Arvio cincanin tämän hetkisestä tilanteesta 6.5/10.
Caius Juvonen 2020
Lähteet:
Lähde 1: https://cincan.io/tools/
Läksyt otettu täältä: http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3003/
Caiuksen blogi 