Attack Surface Analyzer 2.0: Systemänderungen nach Installation von Software überwachen

    Vom Attack Surface Analyzer überwachten KomponentenMicrosoft veröffent­lichte ein Update für den kosten­losen Attack Surface Analyzer. Seine Auf­gabe besteht darin, wichtige System­para­meter vor und nach der Instal­lation einer Software zu ver­gleichen. Admins sollen damit uner­wünschten und sicherheits­relevanten Änderungen auf die Spur kommen.

    Sieben Jahre nach der mittler­weile nicht mehr unter­stützten Version 1.0 des Attack Surface Analyzer erschien nun eine Alpha des von Grund auf neu entwickelten Tools. Es basiert jetzt auf .NET Core und läuft daher auch unter Linux und macOS. Es unterliegt zudem einer Open-Source-Lizenz.

    Snapshots von Systemeinstellungen vergleichen

    Primärer Zweck des Programms ist es heraus­zufinden, ob und wie die Installation einer Software wichtige System­komponenten und Einstellungen verändert. Dies ist besonders dann sinnvoll, wenn die Anwendung aus einer nicht sonderlich vertrauens­würdigen Quelle stammt.

    Dabei geht es nicht nur um das Aufdecken böswilliger Mani­pulationen, sondern auch um die Folgen schlechter Programmierung. Da die Installation von Software in der Regel unter einem admini­strativen Konto erfolgt, kann das Setup etwa einen übermäßig privilegierten User einrichten, unter dem das Programm laufen soll, oder Zugriffsrechte im Dateisystem auf eine unerwünschte Weise ändern.

    Vor einem Scan kann man festlegen, welche Systemkomponenten der Attack Surface Analyzer überwachen soll.

    Beim Erkennen derartiger Aktivitäten hilft der Attack Surface Analyzer (ASA), indem er den Status folgender Komponenten aufzeichnet:

    • Dateisystem
    • Benutzerkonten
    • System Services
    • Netzwerk Ports (Listeners)
    • Zertifikatspeicher
    • Registrierdatenbank

    Die typische Anwendung des Tools besteht darin, dass man es in einer virtuellen Maschine ausführt, bevor man dort eine bestimmte Software testweise installiert. Nachdem das fragliche Programm aufgespielt wurde, nimmt man einen zweiten Snapshot und lässt den ASA diesen mit dem vorherigen vergleichen.

    Hierbei handelt es sich um den Static Scan. Alternativ bietet das Tool auch ein Live Monitoring von System­änderungen, beschränkt sich dabei jedoch auf das Dateisystem und die Registrier­datenbank.

    Verfügbarkeit

    Der Attack Surface Analyzer steht aktuell in der Alphaversion 2.1 auf Github zum Download bereit. Die Binaries für die unterstützten Plattformen finden sich auf der Seite Releases, wo sie sich hinter der Sektion Assets verbergen, die man erst aufklappen muss.

    Download des Attack Surface Analyzer 2.1

    Das Tool erfordert keine Installation, vielmehr packt man einfach den Inhalt des ZIP-Archivs in einen Ordner.

    Keine Kommentare