Attack Surface Analyzer 2.0が出たのでmac上で動かしてみた

なぜやろうとおもったか

ふとタイムラインにこの記事が流れてきたので、興味を持った

Microsoft、セキュリティ分析ツール「Attack Surface Analyzer 2.0」を無償公開
v1.0はWindows専用だったが、v2.0はWindows、LinuxおよびmacOS上で動作する
スキャンできるシステム項目は、
- ファイルシステム
- ユーザーアカウント
- システムサービス
- ネットワークポート
- システム証明書ストア
- レジストリ（Windows版のみ）
https://forest.watch.impress.co.jp/docs/news/1185544.html

TL;DR

• 実際に使ったときのUIが気になる方に、参考になるかな？ってレベルの記事になりました
• そもそも脆弱性診断かとおもったら、システムの差分比較ツールだった (原文よく読め!と。笑)
  • sudoで動かすのでMS製じゃなかったら実行してないなと
• やたらディスクアクセスするので（下記参照）、下手に本番とかで動かすとヤバそう（語彙力
• 最近自分はServerlessでつくっちゃってるので、これの業務での用途はみえなかった
• マニアむけ過ぎて、個人的な期待値を結構下回った

GUIモードで実行してみた

• 環境
  • mac 10.14.5
  • chrome@latest
• githubからDLしてくる
  • https://github.com/microsoft/AttackSurfaceAnalyzer/releases/tag/v2.0.143%2Bfe41ced7df
  • AsaGui-slim-macos-2.0.143.tar.gzをDLした
• 実行

sudo /path/to/download/AsaGui-slim-macos-2.0.143/AttackSurfaceAnalyzer-GUI

• http://localhost:5000に立ち上がるのでchromeでアクセス

top画面こんな感じ

Get Stargedボタン押したあと

Collect Data押したあと

• 押した直後 (実際に歯車はぐるぐる回転アニメーションがついてる)
  

• ちょっと進んだ
  

• マシンがうなり始めた
  
  
  

しばらく放置。終わったらまたこの記事更新します。

15分ぐらいでおわった

Analyze

• よくわかってなかったが、このツールは 基準データ(Base collection)と、最終データの差分で異常検知をしている
• なので、時間をあけて再度Collect Dataを実行し、その２つをつかってAnalyzeかけてみた
• 実行中
• めっちゃディスクにアクセスしてる。これ寿命縮めそう...

• 処理結果

  • 新しく作られたフォルダとかPort開いてる差分とかそういうのを表示してくれる
  • JSONでエクスポートできる

• GUI起動したターミナルにでてたログ (抜粋)

[16:39:44 INF] Comparing 19/05/22 14:36:07 vs 19/05/22 15:11:10
[16:39:44 INF] Begin : FileSystemCompare
[16:41:43 INF] Found 7697 Created
[16:43:31 INF] Found 10359 Deleted
[16:46:02 INF] Found 303 Modified

収集されたデータ (asa.sqlite)の中身をみてみた

• Analyzeまで終わった状態で、なんと 4.9GB!!

-rw-r--r--  1 root  staff   4.9G asa.sqlite

テーブル構成としてはこんな感じ

• table内のデータは公開すると微妙な内容だったので、ここでは伏せます

おわりに

• 用途が思いつかなかったので、サクッと削除しました。。