JA4+ ist eine Suite von Netzwerk-Fingerprinting-Methoden, die einfach zu verwenden und zu teilen sind. Diese Methoden sind sowohl für Menschen als auch für Maschinen lesbar, um eine effektivere Bedrohungssuche und -analyse zu ermöglichen. Zu den Anwendungsfällen für diese Fingerabdrücke gehören das Scannen nach Bedrohungsakteuren, die Erkennung von Malware, die Verhinderung von Session-Hijacking, die Compliance-Automatisierung, die Standortverfolgung, die DDoS-Erkennung, die Gruppierung von Bedrohungsakteuren, die Reverse-Shell-Erkennung und vieles mehr.
Bitte lesen Sie unsere Blogs für Details darüber, wie JA4+ funktioniert, warum es funktioniert und Beispiele dafür, was damit erkannt/verhindert werden kann:
JA4+ Netzwerk-Fingerprinting (JA4/S/H/L/X/SSH)
JA4T: TCP-Fingerprinting (JA4T/TS/TScan)
Untersuchung von Surfshark und NordVPN mit JA4T (JA4T)
Aktuelle Methoden und Implementierungsdetails:
| Vollständiger Name | Kurzname | Beschreibung |
|---|---|---|
| JA4 | JA4 | TLS-Client-Fingerprinting |
| JA4Server | JA4S | TLS-Serverantwort/Sitzungs-Fingerprinting |
| JA4HTTP | JA4H | HTTP-Client-Fingerprinting |
| JA4Latenz | JA4L | Messung der Client-zu-Server-Latenz / Lichtentfernung |
| JA4LatencyServer | JA4LS | Messung der Server-zu-Client-Latenz / Lichtentfernung |
| JA4X509 | JA4X | X509 TLS-Zertifikat-Fingerprinting |
| JA4SSH | JA4SSH | SSH-Traffic-Fingerprinting |
| JA4TCP | JA4T | TCP-Client-Fingerprinting |
| JA4TCPServer | JA4TS | TCP-Server-Antwort-Fingerprinting |
| JA4TCPScan | JA4TScan | Aktiver TCP-Fingerabdruckscanner |
Der vollständige Name oder der Kurzname können austauschbar verwendet werden. Weitere JA4+-Methoden sind in Arbeit...
Informationen zum Lesen von JA4+-Fingerabdrücken finden Sie unter Technische Details
Dieses Repo enthält JA4+ in Python, Rust, Zeek und C als Wireshark-Plugin.
Tools, die JA4+ unterstützen:
| Werkzeug/Anbieter | JA4+-Unterstützung |
|---|---|
| Wireshark | JA4+ |
| Zeek | JA4+ |
| Arkime | JA4+ |
| Suricata | JA4 |
| GreyNoise | JA4+ (Sie müssen danach fragen) |
| Jagd | JA4+ |
| Treibnetz | JA4X |
| DarkSail | JA4+ |
| GoLang | JA4X |
| Enzym | JA4+ (in Entwicklung) |
| Netresecs CapLoader | JA4+ (in Entwicklung) |
| Netresecs NetworkMiner | JA4+ (in Entwicklung) |
| NGINX | JA4+ (in Entwicklung) |
| F5 BIG-IP | JA4+ |
| nfdump | JA4+ |
| ntop ist ntopng | JA4+ |
| ntops nDPI | JA4 |
| Team Cymru | JA4+ (Sie müssen danach fragen) |
| NetQuest | JA4+ |
| Censys | JA4+ |
| Netryx von Exploit.org | JA4 und JA4H |
| Wolkenflare | JA4 |
| Schnell | JA4 |
| MISP | JA4+ |
| OCSF | JA4+ |
| Vercel | JA4 |
| Seika | JA4+ |
| VirusTotal | JA4 |
| AWS | JA4 |
Weitere werden noch bekannt gegeben...
| Anwendung | JA4+ Fingerabdrücke |
|---|---|
| Chrom | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (vorinstallierter Schlüssel)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (kein Schlüssel) |
| IcedID Malware Dropper | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| IcedID-Malware | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| Sliver-Malware | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| Kobaltschlag | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| SoftEther VPN | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (Client)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| Qakbot | JA4X=2bab15409345_af684594efb4_000000000000 |
| Pikabot | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| Darkgate | JA4H=po10nn060000_cdb958d032b0 |
| LummaC2 | JA4H=po11nn050000_d253db9d024b |
| Evilginx | JA4=t13d191000_9dc949149365_e7c285222651 |
| Reverse SSH-Shell | JA4SSH=c76s76_c71s59_c0s70 |
| Windows 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| Epson-Drucker | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
Weitere Beispiele finden Sie unter ja4plus-mapping.csv
Eine vollständige Datenbank finden Sie unter ja4db.com
Wireshark
Zeek
Arkime
Für den vollen Funktionsumfang wird die Tshark-Version 4.0.6 oder höher empfohlen. Siehe: https://pkgs.org/search/?q=tshark
Laden Sie die neuesten JA4-Binärdateien herunter von: Releases.
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
Die offizielle JA4+-Datenbank mit Fingerabdrücken, zugehörigen Anwendungen und empfohlener Erkennungslogik finden Sie hier: ja4db.com
Diese Datenbank wird sehr aktiv weiterentwickelt. Erwarten Sie in den nächsten Monaten (August 2024) um Größenordnungen mehr Fingerabdruckkombinationen und -daten.
Zur schnellen Referenz steht auch ein Beispiel für ja4plus-mapping.csv zur Verfügung.
JA4+ ist eine Reihe einfacher, aber leistungsstarker Netzwerk-Fingerabdrücke für mehrere Protokolle, die sowohl für Menschen als auch für Maschinen lesbar sind und eine verbesserte Bedrohungssuche und Sicherheitsanalyse ermöglichen. Wenn Sie mit Netzwerk-Fingerprinting nicht vertraut sind, empfehle ich Ihnen, meine Blogs zur Veröffentlichung von JA3 hier, JARM hier und diesen hervorragenden Blog von Fastly über den Stand des TLS-Fingerprintings zu lesen, der die Geschichte der oben genannten und ihre Probleme beschreibt. JA4+ bietet engagierten Support und hält die Methoden auf dem neuesten Stand, wenn sich die Branche verändert.
Alle JA4+-Fingerabdrücke haben ein a_b_c-Format, das die verschiedenen Abschnitte abgrenzt, aus denen der Fingerabdruck besteht. Dies ermöglicht die Suche und Erkennung nur mit AB, AC oder C. Wenn jemand nur eingehende Cookies in seiner App analysieren wollte, würde er sich nur JA4H_c ansehen. Dieses neue ortserhaltende Format ermöglicht eine tiefere und umfassendere Analyse und bleibt dabei einfach, benutzerfreundlich und ermöglicht Erweiterbarkeit.
Zum Beispiel; GreyNoise ist ein Internet-Listener, der Internet-Scanner identifiziert und JA4+ in sein Produkt implementiert. Sie haben einen Akteur, der das Internet mit einer sich ständig ändernden einzelnen TLS-Verschlüsselung scannt. Dadurch wird eine riesige Menge völlig unterschiedlicher JA3-Fingerabdrücke erzeugt, aber bei JA4 ändert sich nur der b-Teil des JA4-Fingerabdrucks, die Teile a und c bleiben gleich. Daher kann GreyNoise den Akteur verfolgen, indem es sich den JA4_ac-Fingerabdruck ansieht (a+c verbinden, b weglassen).
Aktuelle Methoden und Implementierungsdetails:
| Vollständiger Name | Kurzname | Beschreibung |
|---|---|---|
| JA4 | JA4 | TLS-Client-Fingerprinting |
| JA4Server | JA4S | TLS-Serverantwort/Sitzungs-Fingerprinting |
| JA4HTTP | JA4H | HTTP-Client-Fingerprinting |
| JA4Latenz | JA4L | Messung der Client-zu-Server-Latenz / Lichtentfernung |
| JA4LatencyServer | JA4LS | Messung der Server-zu-Client-Latenz / Lichtentfernung |
| JA4X509 | JA4X | X509 TLS-Zertifikat-Fingerprinting |
| JA4SSH | JA4SSH | SSH-Traffic-Fingerprinting |
| JA4TCP | JA4T | TCP-Client-Fingerprinting |
| JA4TCPServer | JA4TS | TCP-Server-Antwort-Fingerprinting |
| JA4TCPScan | JA4TScan | Aktiver TCP-Fingerabdruckscanner |
Der vollständige Name oder der Kurzname können austauschbar verwendet werden. Weitere JA4+-Methoden sind in Arbeit...
Informationen zum Lesen von JA4+-Fingerabdrücken finden Sie unter Technische Details
JA4: TLS Client Fingerprinting ist Open Source, BSD 3-Klausel, genau wie JA3. FoxIO hat keine Patentansprüche und plant nicht, den Patentschutz für JA4 TLS Client Fingerprinting anzustreben. Dies ermöglicht jedem Unternehmen oder Tool, das derzeit JA3 verwendet, ein sofortiges Upgrade auf JA4 ohne Verzögerung.
JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan und alle zukünftigen Ergänzungen (gemeinsam als JA4+ bezeichnet) sind unter der FoxIO-Lizenz 1.1 lizenziert. Diese Lizenz ist für die meisten Anwendungsfälle zulässig, auch für akademische und interne Geschäftszwecke, nicht jedoch für die Monetarisierung. Wenn beispielsweise ein Unternehmen JA4+ intern zur Absicherung des eigenen Unternehmens nutzen möchte, ist das zulässig. Wenn ein Anbieter beispielsweise JA4+-Fingerprinting als Teil seines Produktangebots verkaufen möchte, muss er bei uns eine OEM-Lizenz anfordern.
Alle JA4+-Methoden sind zum Patent angemeldet.
JA4+ ist eine Marke von FoxIO
JA4+ kann und wird in Open-Source-Tools implementiert. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Lizenz.
Diese Lizenzierung ermöglicht es uns, JA4+ der Welt auf eine offene und sofort nutzbare Weise zur Verfügung zu stellen, bietet uns aber auch die Möglichkeit, fortlaufenden Support, die Erforschung neuer Methoden und die Entwicklung der JA4+-Datenbank zu finanzieren. Wir möchten, dass jeder die Möglichkeit hat, JA4+ zu nutzen, und arbeiten gerne mit Anbietern und Open-Source-Projekten zusammen, um dies zu ermöglichen.
F: Warum sortieren Sie die Chiffren? Spielt die Reihenfolge keine Rolle?
A: Ja, aber unsere Untersuchungen haben ergeben, dass Anwendungen und Bibliotheken eher eine eindeutige Verschlüsselungsliste wählen als eine eindeutige Reihenfolge. Dies verringert auch die Wirksamkeit des „Cipher Stunting“, einer Taktik zur zufälligen Anordnung der Verschlüsselungsreihenfolge, um die Erkennung von JA3 zu verhindern.
F: Warum sortieren Sie die Erweiterungen?
A: Anfang 2023 hat Google die Chromium-Browser aktualisiert, um die Reihenfolge ihrer Erweiterungen nach dem Zufallsprinzip zu ändern. Ähnlich wie beim Cipher-Stunting handelte es sich hierbei um eine Taktik, um die Erkennung von JA3 zu verhindern und „das TLS-Ökosystem robuster gegenüber Änderungen zu machen“. Google befürchtete, dass Serverimplementierer davon ausgehen würden, dass sich der Chrome-Fingerabdruck nie ändern würde, und am Ende eine Logik darauf aufbauen würden, was zu Problemen führen würde, wenn Google Chrome aktualisiert.
Deshalb möchte ich Folgendes klarstellen: JA4-Fingerabdrücke ändern sich, wenn die TLS-Bibliotheken der Anwendungen etwa einmal im Jahr aktualisiert werden. Gehen Sie nicht davon aus, dass Fingerabdrücke in einer Umgebung, in der Anwendungen aktualisiert werden, konstant bleiben. In jedem Fall wird dies durch Sortieren der Erweiterungen umgangen und durch das Hinzufügen von Signaturalgorithmen bleibt die Eindeutigkeit erhalten.
F: Erschwert TLS 1.3 das Fingerprinting von TLS-Clients nicht?
A: Nein, es macht es einfacher! Seit TLS 1.3 verfügen Clients über einen viel größeren Satz an Erweiterungen, und obwohl TLS1.3 nur wenige Chiffren unterstützt, unterstützen Browser und Anwendungen immer noch viel mehr.
John Althouse, mit Feedback von:
Josh Atkins
Jeff Atkinson
Joshua Alexander
W.
Joe Martin
Ben Higgins
Andrew Morris
Chris Ueland
Ben Schofield
Matthias Vallentin
Valeriy Worotyntsev
Timothy Noel
Gary Lipsky
Und Ingenieure, die bei GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet und anderen arbeiten.
Kontaktieren Sie John Althouse unter [email protected] für Lizenzierungen und Fragen.
Urheberrecht (c) 2024, FoxIO
