Microsoft hat eine neue Version vom Attack Surface Analyzer bereitgestellt. Die Version 1 stammte noch aus dem Jahre 2012. Die neue Version 2 (aktuell 2.1) wurde nun komplett überarbeitet und dient dazu zu überwachen und aufzuzeichnen, was auf dem PC passiert.
Ich hab das Monitoring einmal mit einer Installation vom Registry Finder und auch einfach nur beim Start vom Microsoft Edge mitlaufen lassen. In den Resultaten kann man dann genau sehen, was im Hintergrund abgelaufen ist. Ist schon sehr informativ.
Der Attack Surface Analyzer ist auf GitHub bereitgestellt und kann unter Windows, Linux und MacOS verwendet werden. Änderungen die aufgenommen werden betreffen:
- Dateisystem (statischer Snapshot und Live-Monitoring verfügbar)
- Benutzerkonten
- Dienstleistungen
- Netzwerk-Ports
- Zertifikate
- Registrierung (nur Windows)
Geplante Funktionen, die das Team noch einbauen will sind:
- Code Signing-Informationen
- Treiber (teilweise abgedeckt durch Dateisystemüberwachung)
- Firewall-Einstellungen
- Wiederholbare Installationen
- Netzwerkverkehr (Live-Monitoring)
- Registry (Live-Überwachung)
- Angeforderte Funktionen, die im ursprünglichen Angriffsoberflächenanalysator vorhanden waren.
Also sollte man dieses Tool durchaus im Auge behalten. Denn schon mit den derzeitigen Funktionen kann man vieles auslesen, was auf dem Rechner passiert. Wer es einmal ausprobieren möchte, muss unter Assets darauf achten dass die GUI-Version geladen wird. Beispielsweise die AsaGui-win10-2.1.14.zip
"Attack Surface Analyzer katalogisiert die Änderungen, die durch die Installation neuer Software an einer Plattform vorgenommen wurden. ASA kann verwendet werden, um eine Momentaufnahme Ihres Systemzustands vor und nach der Installation von Produkten zu machen und zeigt die Änderungen an einer Reihe von Schlüsselelementen der Systemangriffsfläche an, so dass Sie sehen können, welche Angriffsflächen nach der Installation der Zielprodukte freigelegt werden können."
