Attack Surface Analyzer 2.0: Systemänderungen nach Installation von Software überwachen

Primärer Zweck des Programms ist es heraus­zufinden, ob und wie die Installation einer Software wichtige System­komponenten und Einstellungen verändert. Dies ist besonders dann sinnvoll, wenn die Anwendung aus einer nicht sonderlich vertrauens­würdigen Quelle stammt.

Dabei geht es nicht nur um das Aufdecken böswilliger Mani­pulationen, sondern auch um die Folgen schlechter Programmierung. Da die Installation von Software in der Regel unter einem admini­strativen Konto erfolgt, kann das Setup etwa einen übermäßig privilegierten User einrichten, unter dem das Programm laufen soll, oder Zugriffsrechte im Dateisystem auf eine unerwünschte Weise ändern.

Beim Erkennen derartiger Aktivitäten hilft der Attack Surface Analyzer (ASA), indem er den Status folgender Komponenten aufzeichnet:

• Dateisystem
• Benutzerkonten
• System Services
• Netzwerk Ports (Listeners)
• Zertifikatspeicher
• Registrierdatenbank

Die typische Anwendung des Tools besteht darin, dass man es in einer virtuellen Maschine ausführt, bevor man dort eine bestimmte Software testweise installiert. Nachdem das fragliche Programm aufgespielt wurde, nimmt man einen zweiten Snapshot und lässt den ASA diesen mit dem vorherigen vergleichen.

Hierbei handelt es sich um den Static Scan. Alternativ bietet das Tool auch ein Live Monitoring von System­änderungen, beschränkt sich dabei jedoch auf das Dateisystem und die Registrier­datenbank.

Verfügbarkeit

Der Attack Surface Analyzer steht aktuell in der Alphaversion 2.1 auf Github zum Download bereit. Die Binaries für die unterstützten Plattformen finden sich auf der Seite Releases, wo sie sich hinter der Sektion Assets verbergen, die man erst aufklappen muss.

Das Tool erfordert keine Installation, vielmehr packt man einfach den Inhalt des ZIP-Archivs in einen Ordner.