Tags: Monitoring, Sicherheit, Software-Distribution
Microsoft veröffentlichte ein Update für den kostenlosen Attack Surface Analyzer. Seine Aufgabe besteht darin, wichtige Systemparameter vor und nach der Installation einer Software zu vergleichen. Admins sollen damit unerwünschten und sicherheitsrelevanten Änderungen auf die Spur kommen.
Sieben Jahre nach der mittlerweile nicht mehr unterstützten Version 1.0 des Attack Surface Analyzer erschien nun eine Alpha des von Grund auf neu entwickelten Tools. Es basiert jetzt auf .NET Core und läuft daher auch unter Linux und macOS. Es unterliegt zudem einer Open-Source-Lizenz.
Snapshots von Systemeinstellungen vergleichen
Primärer Zweck des Programms ist es herauszufinden, ob und wie die Installation einer Software wichtige Systemkomponenten und Einstellungen verändert. Dies ist besonders dann sinnvoll, wenn die Anwendung aus einer nicht sonderlich vertrauenswürdigen Quelle stammt.
Dabei geht es nicht nur um das Aufdecken böswilliger Manipulationen, sondern auch um die Folgen schlechter Programmierung. Da die Installation von Software in der Regel unter einem administrativen Konto erfolgt, kann das Setup etwa einen übermäßig privilegierten User einrichten, unter dem das Programm laufen soll, oder Zugriffsrechte im Dateisystem auf eine unerwünschte Weise ändern.
Beim Erkennen derartiger Aktivitäten hilft der Attack Surface Analyzer (ASA), indem er den Status folgender Komponenten aufzeichnet:
- Dateisystem
- Benutzerkonten
- System Services
- Netzwerk Ports (Listeners)
- Zertifikatspeicher
- Registrierdatenbank
Die typische Anwendung des Tools besteht darin, dass man es in einer virtuellen Maschine ausführt, bevor man dort eine bestimmte Software testweise installiert. Nachdem das fragliche Programm aufgespielt wurde, nimmt man einen zweiten Snapshot und lässt den ASA diesen mit dem vorherigen vergleichen.
Hierbei handelt es sich um den Static Scan. Alternativ bietet das Tool auch ein Live Monitoring von Systemänderungen, beschränkt sich dabei jedoch auf das Dateisystem und die Registrierdatenbank.
Verfügbarkeit
Der Attack Surface Analyzer steht aktuell in der Alphaversion 2.1 auf Github zum Download bereit. Die Binaries für die unterstützten Plattformen finden sich auf der Seite Releases, wo sie sich hinter der Sektion Assets verbergen, die man erst aufklappen muss.
Das Tool erfordert keine Installation, vielmehr packt man einfach den Inhalt des ZIP-Archivs in einen Ordner.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Fortgeschrittene Techniken mit Nmap: TCP-Window-, FIN-, NULL- und XMAS-Scans
- Gartner-Quadrant zu SIEM: 5 Hersteller führend (u.a. Microsoft, Splunk, IBM)
- Nmap: Firewalls umgehen mit Ping- und TCP-ACK-Scans
- Portscanner Nmap: die wichtigsten Funktionen im Überblick
- Active Directory mit Microsoft Defender for Identity schützen
Weitere Links