JA4+ عبارة عن مجموعة من طرق أخذ بصمات الشبكة التي تتميز بسهولة الاستخدام والمشاركة. يمكن قراءة هذه الأساليب بواسطة الإنسان والآلية لتسهيل عملية البحث عن التهديدات وتحليلها بشكل أكثر فعالية. تتضمن حالات الاستخدام لبصمات الأصابع هذه المسح بحثًا عن جهات التهديد، واكتشاف البرامج الضارة، ومنع اختطاف الجلسة، وأتمتة الامتثال، وتتبع الموقع، واكتشاف DDoS، وتجميع الجهات الفاعلة في التهديد، واكتشاف الصدفة العكسية، وغير ذلك الكثير.
يرجى قراءة مدوناتنا للحصول على تفاصيل حول كيفية عمل JA4+، وسبب عمله، وأمثلة عما يمكن اكتشافه/منعه باستخدامه:
JA4+ بصمة الشبكة (JA4/S/H/L/X/SSH)
JA4T: بصمة TCP (JA4T/TS/TScan)
التحقق من Surfshark وNordVPN باستخدام JA4T (JA4T)
الأساليب الحالية وتفاصيل التنفيذ:
| الاسم الكامل | الاسم المختصر | وصف |
|---|---|---|
| JA4 | JA4 | بصمة عميل TLS |
| JA4Server | JA4S | استجابة خادم TLS / بصمات الجلسة |
| JA4HTTP | JA4H | بصمة عميل HTTP |
| JA4 الكمون | JA4L | قياس وقت الاستجابة من العميل إلى الخادم / مسافة الضوء |
| JA4LatencyServer | JA4LS | قياس زمن الوصول من الخادم إلى العميل / مسافة الضوء |
| JA4X509 | JA4X | بصمة شهادة X509 TLS |
| JA4SSH | JA4SSH | بصمات حركة مرور SSH |
| JA4TCP | JA4T | بصمة عميل TCP |
| JA4TCPServer | JA4TS | بصمات استجابة خادم TCP |
| JA4TCPScan | JA4TScan | ماسح بصمة الإصبع النشط TCP |
يمكن استخدام الاسم الكامل أو الاسم القصير بالتبادل. هناك طرق JA4+ إضافية قيد التنفيذ...
لفهم كيفية قراءة بصمات أصابع JA4+، راجع التفاصيل الفنية
يتضمن هذا الريبو JA4+ في Python وRust وZeek وC، كمكون إضافي لـ Wireshark.
الأدوات التي تدعم JA4+:
| الأداة/البائع | دعم JA4+ |
|---|---|
| وايرشارك | جا4 + |
| زيك | جا4 + |
| أركيمي | جا4 + |
| سوريكاتا | JA4 |
| الضوضاء الرمادية | JA4+ (عليك أن تطلب ذلك) |
| مطاردة | جا4 + |
| دريفت نت | JA4X |
| دارك سيل | جا4+ |
| جولانج | JA4X |
| nzime | JA4+ (قيد التطوير) |
| برنامج CapLoader الخاص بـ Netresec | JA4+ (قيد التطوير) |
| Netresec's NetworkMiner | JA4+ (قيد التطوير) |
| نجينكس | JA4+ (قيد التطوير) |
| F5 بيج آي بي | جا4+ |
| com.nfdump | جا4+ |
| ntop's ntopng | جا4+ |
| ntop's nDPI | JA4 |
| فريق سيمرو | JA4+ (عليك أن تطلب ذلك) |
| NetQuest | جا4+ |
| سينسيس | جا4+ |
| موقع Exploit.org Netryx | JA4 وJA4H |
| كلاودفلير | JA4 |
| بسرعة | JA4 |
| مجموعة خدمات MISP | جا4 + |
| أوسف | جا4+ |
| فيرسل | JA4 |
| سيكا | جا4+ |
| فيروس توتال | JA4 |
| أوس | JA4 |
مع الإعلان عن المزيد..
| طلب | JA4+ بصمات الأصابع |
|---|---|
| الكروم | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (المفتاح المشترك مسبقًا)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (بدون مفتاح) |
| قطارة البرامج الضارة IcedID | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| البرامج الضارة IcedID | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| البرامج الضارة الشظية | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| ضربة الكوبالت | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| سوفت إيثر VPN | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (العميل)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| قكبوت | JA4X=2bab15409345_af684594efb4_000000000000 |
| بيكابوت | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| داركجيت | JA4H=po10nn060000_cdb958d032b0 |
| لوماC2 | JA4H=po11nn050000_d253db9d024b |
| إيفيلجينكس | JA4=t13d191000_9dc949149365_e7c285222651 |
| عكس شل SSH | JA4SSH=c76s76_c71s59_c0s70 |
| ويندوز 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| طابعة إبسون | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
لمزيد من الأمثلة، راجع ja4plus-mapping.csv
للحصول على قاعدة بيانات كاملة، راجع ja4db.com
وايرشارك
زيك
أركيمي
من المستحسن أن يكون لديك إصدار tshark 4.0.6 أو إصدار أحدث للحصول على الوظائف الكاملة. انظر: https://pkgs.org/search/?q=tshark
قم بتنزيل أحدث ثنائيات JA4 من: الإصدارات.
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
قاعدة بيانات JA4+ الرسمية لبصمات الأصابع والتطبيقات المرتبطة بها ومنطق الكشف الموصى به موجودة هنا: ja4db.com
قاعدة البيانات هذه قيد التطوير النشط للغاية. توقع طلبات كبيرة من مجموعات بصمات الأصابع والبيانات خلال الأشهر القليلة المقبلة (أغسطس 2024).
يتوفر أيضًا نموذج ja4plus-mapping.csv للرجوع إليه سريعًا.
JA4+ عبارة عن مجموعة من بصمات الشبكة البسيطة والقوية لبروتوكولات متعددة يمكن قراءتها بواسطة الإنسان والآلية، مما يسهل تحسين عملية البحث عن التهديدات والتحليل الأمني. إذا لم تكن معتادا على بصمات الشبكة، فإنني أشجعك على قراءة مدوناتي التي تطلق JA3 هنا، JARM هنا، وهذه المدونة الممتازة من Fastly on the State of TLS Fingerprinting والتي توضح تاريخ ما سبق ذكره بالإضافة إلى مشاكلهم. يقدم JA4+ دعمًا مخصصًا، مع الحفاظ على تحديث الأساليب مع تغير الصناعة.
تحتوي جميع بصمات أصابع JA4+ على تنسيق a_b_c، مما يحدد الأقسام المختلفة التي تشكل بصمة الإصبع. وهذا يسمح بالصيد والكشف باستخدام ab أو ac أو c فقط. إذا أراد أحدهم إجراء تحليل لملفات تعريف الارتباط الواردة في تطبيقه فقط، فسينظر إلى JA4H_c فقط. يسهل هذا التنسيق الجديد الذي يحافظ على المنطقة إجراء تحليل أعمق وأكثر ثراءً مع الحفاظ على البساطة وسهولة الاستخدام والسماح بقابلية التوسعة.
على سبيل المثال؛ GreyNoise هو أحد مستمعي الإنترنت الذي يحدد الماسحات الضوئية على الإنترنت ويقوم بتطبيق JA4+ في منتجاته. لديهم ممثل يقوم بمسح الإنترنت باستخدام تشفير TLS واحد يتغير باستمرار. يؤدي هذا إلى إنشاء كمية هائلة من بصمات JA3 المختلفة تمامًا، ولكن مع JA4، يتغير الجزء b فقط من بصمة JA4، ويظل الجزءان a وc كما هو. على هذا النحو، يمكن لـ GreyNoise تتبع الممثل من خلال النظر إلى بصمة JA4_ac (الانضمام إلى a+c، وإسقاط b).
الأساليب الحالية وتفاصيل التنفيذ:
| الاسم الكامل | الاسم المختصر | وصف |
|---|---|---|
| JA4 | JA4 | بصمة عميل TLS |
| JA4Server | JA4S | استجابة خادم TLS / بصمات الجلسة |
| JA4HTTP | JA4H | بصمة عميل HTTP |
| JA4 الكمون | JA4L | قياس وقت الاستجابة من العميل إلى الخادم / مسافة الضوء |
| JA4LatencyServer | JA4LS | قياس زمن الوصول من الخادم إلى العميل / مسافة الضوء |
| JA4X509 | JA4X | بصمة شهادة X509 TLS |
| JA4SSH | JA4SSH | بصمات حركة مرور SSH |
| JA4TCP | JA4T | بصمة عميل TCP |
| JA4TCPServer | JA4TS | بصمات استجابة خادم TCP |
| JA4TCPScan | JA4TScan | ماسح بصمة الإصبع النشط TCP |
يمكن استخدام الاسم الكامل أو الاسم القصير بالتبادل. هناك طرق JA4+ إضافية قيد التنفيذ...
لفهم كيفية قراءة بصمات أصابع JA4+، راجع التفاصيل الفنية
JA4: بصمة عميل TLS مفتوحة المصدر، BSD 3-Clause، مثل JA3. ليس لدى FoxIO مطالبات ببراءات اختراع ولا تخطط لمتابعة تغطية براءات الاختراع لبصمة عميل JA4 TLS. وهذا يسمح لأي شركة أو أداة تستخدم حاليًا JA3 بالترقية فورًا إلى JA4 دون تأخير.
JA4S، JA4L، JA4LS، JA4H، JA4X، JA4SSH، JA4T، JA4TS، JA4TScan وجميع الإضافات المستقبلية (يشار إليها مجتمعة باسم JA4 +) مرخصة بموجب ترخيص FoxIO 1.1. هذا الترخيص مسموح به لمعظم حالات الاستخدام، بما في ذلك الأغراض الأكاديمية والتجارية الداخلية، ولكنه لا يسمح بتحقيق الدخل. على سبيل المثال، إذا كانت إحدى الشركات ترغب في استخدام JA4+ داخليًا للمساعدة في تأمين شركتها الخاصة، فهذا مسموح به. على سبيل المثال، إذا كان البائع يرغب في بيع بصمة JA4+ كجزء من عرض المنتج الخاص به، فسيحتاج إلى طلب ترخيص OEM منا.
جميع أساليب JA4+ في انتظار الحصول على براءة اختراع.
JA4+ هي علامة تجارية لشركة FoxIO
يمكن تنفيذ +JA4 في أدوات مفتوحة المصدر، راجع الأسئلة الشائعة حول الترخيص للحصول على التفاصيل.
يتيح لنا هذا الترخيص تقديم JA4+ للعالم بطريقة مفتوحة وقابلة للاستخدام على الفور، ولكنه يوفر لنا أيضًا طريقة لتمويل الدعم المستمر والبحث في الأساليب الجديدة وتطوير قاعدة بيانات JA4+. نريد أن يتمتع الجميع بالقدرة على استخدام JA4+ ويسعدنا العمل مع البائعين والمشاريع مفتوحة المصدر للمساعدة في تحقيق ذلك.
س: لماذا تقوم بفرز الأصفار؟ لا يهم الترتيب؟
ج: إنه كذلك، ولكن في بحثنا وجدنا أن التطبيقات والمكتبات تختار قائمة تشفير فريدة أكثر من الترتيب الفريد. وهذا يقلل أيضًا من فعالية "تقزم التشفير"، وهو تكتيك عشوائي لترتيب التشفير لمنع اكتشاف JA3.
س: لماذا تقوم بفرز الامتدادات؟
ج: في وقت سابق من عام 2023، قامت Google بتحديث متصفحات Chromium لترتيب الإضافات بشكل عشوائي. تمامًا مثل تقزم التشفير، كان هذا تكتيكًا لمنع اكتشاف JA3 و"جعل نظام TLS البيئي أكثر قوة في مواجهة التغييرات". كانت Google قلقة من أن يفترض منفذو الخادم أن بصمة Chrome لن تتغير أبدًا وينتهي بهم الأمر ببناء منطق حولها، مما قد يتسبب في حدوث مشكلات كلما ذهبت Google لتحديث Chrome.
لذا أريد توضيح ذلك: ستتغير بصمات JA4 مع تحديث مكتبات TLS للتطبيقات، مرة واحدة تقريبًا في السنة. لا تفترض أن بصمات الأصابع ستبقى ثابتة في بيئة يتم فيها تحديث التطبيقات. على أية حال، فإن فرز الامتدادات يتغلب على هذه المشكلة وإضافة خوارزميات التوقيع يحافظ على التفرد.
س: ألا يجعل TLS 1.3 عملية أخذ بصمات عملاء TLS أكثر صعوبة؟
ج: لا، إنه يجعل الأمر أسهل! منذ TLS 1.3، أصبح لدى العملاء مجموعة أكبر بكثير من الامتدادات، وعلى الرغم من أن TLS1.3 لا يدعم سوى عدد قليل من الأصفار، إلا أن المتصفحات والتطبيقات لا تزال تدعم المزيد من الأصفار.
جون ألتهاوس، مع تعليقات من:
جوش اتكينز
جيف أتكينسون
جوشوا الكسندر
دبليو.
جو مارتن
بن هيجنز
أندرو موريس
كريس يولاند
بن سكوفيلد
ماتياس فالنتين
فاليري فوروتينتسيف
تيموثي نويل
غاري ليبسكي
والمهندسون العاملون في GreyNoise وHunt وGoogle وExtraHop وF5 وDriftnet وغيرها.
تواصل مع John Althouse على [email protected] للحصول على الترخيص والأسئلة.
حقوق الطبع والنشر (ج) 2024، FoxIO
