Artikler / Security & identity

Attack Surface Analyzer 2.0

Attack Surface Analyser kan analysere hvor sårbart dit operativsystem er. Værktøjet laver analysen på baggrund af angrebsoverflade på operativsystemet.

Hvad er Attack Surface Analazer?

De fleste af os vil gerne vide hvilke ændringer der forekommer på vores operativsystem, når vi installerer applikationer fra nye eller mindre troværdige udviklere. Det er vigtigt, fordi de fleste installationer kræver administrator rettigheder, hvilket kan føre til uønsket systemændringer. Ved at vide hvilke ændringer der fortages når en applikation installeres, kan man mindske risikoen for uønskede gæster eller ved datamisbrug.

Attack Surface Analyzer (ASA) blev udgivet tilbage i 2012, hvor den nyeste version (2.0) kom for et par dage siden (Maj 2019). Programmet er udviklet til at hjælpe udviklere og IT-professionelle med at identificere ændringer i operativsystemet når nye applikationer installeres eller opdateres.

Værktøjet kan hjælpe med at identificere potentielle sikkerhedsrisici ved at analysere følgende:

  • Filsystemet
  • Brugerkonto
  • System services
  • Netværks porte
  • Certifikater
  • Registrerings databasen
Værktøjet kan spille en vigtig rolle for at sikre, at softwaren, I udvikler eller distribuerer, ikke påvirker operativsystemets sikkerhed.

Hvor kan jeg downloade Attack Surface Analyzer 2.0?

Den nye version af Attack Surface Analyzer (2.0) kan hentes fra GitHub, hvor Microsoft har udgivet koden som open-source og har dermed åbnet for at alle kan bidrage til projektet.

Hvis man stadig har brug for version 1.0, kan det hentes her.

Hvordan bruger jeg værktøjet?

Der er ingen installation af selve Attack Surface Analyzer. Efter programmet er hentet, skal det blot pakkes ud et sted på operativsystemet.

I det udpakket arkiv, køres programmet “asa.exe” med eleveret rettigheder (kør som administrator).

Den nye version er lige til at gå i gang med. Værktøjet er inddelt i to sektioner, en for scanning (“scan“) og en for resultater (“results“).

I “scan” sektionen, har vi mulighed for to forskellige scanningstyper, statisk scanning (“static scan“) og realtime overvågning (“live monitoring mode“).

Den statistiske scanning (“static scan“) kan detektere ændringer vha. et før/efter billede. Før man installere sin applikation, tager man det første billede af systemet, og når installation er færdig, tager man endnu et billede. Dette vil producere en rapport over hvilke ændringer der blev foretaget mellem de to billeder.

Den sidste scanningstype kaldet “live scanning mode“, registrerer ændringer på operativ systemet i realtid.

Lad os prøve en statisk scanning.

  1. Tilgå “Scan“-fanen oppe i toppen.
  2. Vælg “Static Scan” i “Scan Type“, i “Run id” skriv “Before State“, vælg alle collectors (“Files“, “Ports“, “Users“, “Certificates“, “Services“, Registry“) og tryk nu på “Collect Data“.
  3. Gå ud og hent noget kaffe. Afhængigt af maskinens ressourcer, kan det tage en del tid for Attack Surface Analyzer at indsamle og analysere alt data. Det kan hjælpe at slå Windows Defender fra i tidsrummet når man laver en scanning. Se hvilke filer den scanner vha. ressource monitor (“C:\Windows\system32\perfmon.exe /res“). På mit miljø tog en scanning ca. 45 minutter.
  4. Når programmet er færdig med at hente og analysere data, skal vi installere et program, som skal tjekkes. I dette eksempel bruger vi 7-Zip, som kan hentes her. Færdiggør installationen af programmet (7-Zip). Bemærk at i denne vejledning beskriver ikke installation af 7-Zip applikationen.
  5. Når du har installeret 7-Zip, åbner vi igen “asa.exe” (Attack Surface Analyzer) med eleveret rettigheder, og kører en ny statisk scanning med samme indstillinger som tidligere.
  6. Når den sidste scanning er færdig, tilgå fanen “Results“.
  7. Vælg “Before State” i “Base Run Id” og “After State” i “Product Run Id“. Tryk derefter på “Run Analysis“.
  8. Vælg herefter f.eks. “Registry” for at se hvilke ændringer der er blevet fortaget i registreringsdatabasen af 7-Zip installationen. Resultatet kan også blive eksporteret til JSON.

Afsluttende bemærkninger

Attack Surface Analyzer er et mindre kendt værktøj i IT-verdenen, men er et stærk våben i mod trusler fra nye eller ukendte applikationer. Programmet understøtter en mere automatiseret tilgang vha. CLI, og fungerer også på Linux og macOS.

Hos Zwable tester og analyserer vi alle programmer inden de ender hos slutbrugerne. Vi forstår vigtigheden i at fastholde en sikker IT-infrastruktur. Hvis du er interesseret, er du velkommen til at kontakte os og høre mere. Vi står klar til en uforpligtende samtale, omkring en gennemgående analyse af jeres IT-miljø og applikationer.