なぜやろうとおもったか
ふとタイムラインにこの記事が流れてきたので、興味を持った
Microsoft、セキュリティ分析ツール「Attack Surface Analyzer 2.0」を無償公開
v1.0はWindows専用だったが、v2.0はWindows、LinuxおよびmacOS上で動作する
スキャンできるシステム項目は、
- ファイルシステム
- ユーザーアカウント
- システムサービス
- ネットワークポート
- システム証明書ストア
- レジストリ(Windows版のみ)
https://forest.watch.impress.co.jp/docs/news/1185544.html
TL;DR
- 実際に使ったときのUIが気になる方に、参考になるかな?ってレベルの記事になりました
- そもそも脆弱性診断かとおもったら、システムの差分比較ツールだった (原文よく読め!と。笑)
-
sudo
で動かすのでMS製じゃなかったら実行してないなと
-
- やたらディスクアクセスするので(下記参照)、下手に本番とかで動かすとヤバそう(語彙力
- 最近自分はServerlessでつくっちゃってるので、これの業務での用途はみえなかった
- マニアむけ過ぎて、個人的な期待値を結構下回った
GUIモードで実行してみた
- 環境
- mac 10.14.5
- chrome@latest
- githubからDLしてくる
- https://github.com/microsoft/AttackSurfaceAnalyzer/releases/tag/v2.0.143%2Bfe41ced7df
-
AsaGui-slim-macos-2.0.143.tar.gz
をDLした
- 実行
sudo /path/to/download/AsaGui-slim-macos-2.0.143/AttackSurfaceAnalyzer-GUI
-
http://localhost:5000
に立ち上がるのでchromeでアクセス
top画面こんな感じ
Get Stargedボタン押したあと
Collect Data押したあと
しばらく放置。終わったらまたこの記事更新します。
15分ぐらいでおわった
Analyze
- よくわかってなかったが、このツールは 基準データ(Base collection)と、最終データの差分で異常検知をしている
- なので、時間をあけて再度Collect Dataを実行し、その2つをつかってAnalyzeかけてみた
- 実行中
- めっちゃディスクにアクセスしてる。これ寿命縮めそう...
-
処理結果
GUI起動したターミナルにでてたログ (抜粋)
[16:39:44 INF] Comparing 19/05/22 14:36:07 vs 19/05/22 15:11:10
[16:39:44 INF] Begin : FileSystemCompare
[16:41:43 INF] Found 7697 Created
[16:43:31 INF] Found 10359 Deleted
[16:46:02 INF] Found 303 Modified
収集されたデータ (asa.sqlite)の中身をみてみた
- Analyzeまで終わった状態で、なんと 4.9GB!!
-rw-r--r-- 1 root staff 4.9G asa.sqlite
テーブル構成としてはこんな感じ
おわりに
- 用途が思いつかなかったので、サクッと削除しました。。