JA4+ es un conjunto de métodos de toma de huellas digitales de red que son fáciles de usar y de compartir. Estos métodos son legibles tanto por humanos como por máquinas para facilitar una búsqueda y un análisis de amenazas más eficaces. Los casos de uso de estas huellas digitales incluyen escaneo en busca de actores de amenazas, detección de malware, prevención de secuestro de sesiones, automatización del cumplimiento, seguimiento de ubicación, detección de DDoS, agrupación de actores de amenazas, detección de shell inverso y muchos más.
Lea nuestros blogs para obtener detalles sobre cómo funciona JA4+, por qué funciona y ejemplos de lo que se puede detectar/prevenir con él:
JA4+ Huellas dactilares en red (JA4/S/H/L/X/SSH)
JA4T: Huella digital TCP (JA4T/TS/TScan)
Investigando Surfshark y NordVPN con JA4T (JA4T)
Métodos actuales y detalles de implementación:
| Nombre completo | Nombre corto | Descripción |
|---|---|---|
| JA4 | JA4 | Huellas digitales del cliente TLS |
| Servidor JA4 | JA4S | Respuesta del servidor TLS/huellas dactilares de sesión |
| JA4HTTP | JA4H | Huellas digitales del cliente HTTP |
| JA4Latencia | JA4L | Medición de latencia de cliente a servidor/distancia de luz |
| Servidor JA4Latency | JA4LS | Medición de latencia de servidor a cliente/distancia de luz |
| JA4X509 | JA4X | Huella digital del certificado TLS X509 |
| JA4SSH | JA4SSH | Huellas dactilares del tráfico SSH |
| JA4TCP | JA4T | Huellas dactilares del cliente TCP |
| Servidor JA4TCPS | JA4TS | Huella digital de respuesta del servidor TCP |
| JA4TCPScan | JA4TScan | Escáner de huellas dactilares TCP activo |
El nombre completo o el nombre corto se pueden utilizar indistintamente. Se están trabajando en métodos JA4+ adicionales...
Para entender cómo leer las huellas dactilares JA4+, consulte Detalles técnicos
Este repositorio incluye JA4+ en Python, Rust, Zeek y C, como complemento de Wireshark.
Herramientas que soportan JA4+:
| Herramienta/proveedor | Soporte JA4+ |
|---|---|
| Wireshark | JA4+ |
| Zeek | JA4+ |
| arkime | JA4+ |
| suricata | JA4 |
| grisruido | JA4+ (hay que pedirlo) |
| Caza | JA4+ |
| Red de deriva | JA4X |
| vela oscura | JA4+ |
| GoLang | JA4X |
| enzima | JA4+ (en desarrollo) |
| CapLoader de Netresec | JA4+ (en desarrollo) |
| NetworkMiner de Netresec | JA4+ (en desarrollo) |
| NGINX | JA4+ (en desarrollo) |
| F5 BIG-IP | JA4+ |
| nfdump | JA4+ |
| ntopng de ntop | JA4+ |
| nDPI de ntop | JA4 |
| Equipo Cymru | JA4+ (hay que pedirlo) |
| NetQuest | JA4+ |
| censys | JA4+ |
| Netryx de Exploit.org | JA4 y JA4H |
| Llamarada de nube | JA4 |
| rápidamente | JA4 |
| MISP | JA4+ |
| OCSF | JA4+ |
| Vercel | JA4 |
| Seika | JA4+ |
| VirusTotal | JA4 |
| AWS | JA4 |
con más por anunciar...
| Solicitud | JA4+ Huellas Dactilares |
|---|---|
| Cromo | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (clave previamente compartida)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (sin clave) |
| Gotero de malware IcedID | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| Malware Iced ID | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| Astilla de malware | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| Golpe de cobalto | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| VPN SoftEther | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (cliente)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| Qakbot | JA4X=2bab15409345_af684594efb4_000000000000 |
| Pikabot | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| puerta oscura | JA4H=po10nn060000_cdb958d032b0 |
| LummaC2 | JA4H=po11nn050000_d253db9d024b |
| malginx | JA4=t13d191000_9dc949149365_e7c285222651 |
| Shell SSH inverso | JA4SSH=c76s76_c71s59_c0s70 |
| ventanas 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| Impresora Epson | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
Para obtener más ejemplos, consulte ja4plus-mapping.csv
Para obtener una base de datos completa, consulte ja4db.com
Wireshark
Zeek
arkime
Se recomienda tener tshark versión 4.0.6 o posterior para una funcionalidad completa. Ver: https://pkgs.org/search/?q=tshark
Descargue los binarios JA4 más recientes desde: Lanzamientos.
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
La base de datos oficial JA4+ de huellas dactilares, aplicaciones asociadas y lógica de detección recomendada está aquí: ja4db.com
Esta base de datos está bajo desarrollo muy activo. Espere órdenes de magnitud más combinaciones de huellas dactilares y datos durante los próximos meses (agosto de 2024).
También está disponible un ejemplo de ja4plus-mapping.csv para referencia rápida.
JA4+ es un conjunto de huellas digitales de red simples pero potentes para múltiples protocolos que son legibles tanto por humanos como por máquinas, lo que facilita una mejor búsqueda de amenazas y análisis de seguridad. Si no está familiarizado con las huellas dactilares de red, le recomiendo que lea mis blogs sobre el lanzamiento de JA3 aquí, JARM aquí y este excelente blog de Fastly sobre el estado de las huellas dactilares TLS que describe la historia de los mencionados anteriormente junto con sus problemas. JA4+ brinda soporte dedicado, manteniendo los métodos actualizados a medida que cambia la industria.
Todas las huellas JA4+ tienen un formato a_b_c, delimitando las diferentes secciones que componen la huella. Esto permite la búsqueda y detección utilizando solo ab o ac o c únicamente. Si uno quisiera simplemente hacer un análisis de las cookies entrantes en su aplicación, solo miraría JA4H_c. Este nuevo formato que preserva la localidad facilita un análisis más profundo y rico sin dejar de ser simple, fácil de usar y permitir la extensibilidad.
Por ejemplo; GreyNoise es un oyente de Internet que identifica escáneres de Internet y está implementando JA4+ en su producto. Tienen un actor que escanea Internet con un único cifrado TLS que cambia constantemente. Esto genera una gran cantidad de huellas dactilares JA3 completamente diferentes, pero con JA4, solo cambia la parte b de la huella dactilar JA4, las partes a y c permanecen iguales. Como tal, GreyNoise puede rastrear al actor mirando la huella digital JA4_ac (uniendo a+c, soltando b).
Métodos actuales y detalles de implementación:
| Nombre completo | Nombre corto | Descripción |
|---|---|---|
| JA4 | JA4 | Huellas digitales del cliente TLS |
| Servidor JA4 | JA4S | Respuesta del servidor TLS/huellas dactilares de sesión |
| JA4HTTP | JA4H | Huellas digitales del cliente HTTP |
| JA4Latencia | JA4L | Medición de latencia de cliente a servidor/distancia de luz |
| Servidor JA4Latency | JA4LS | Medición de latencia de servidor a cliente/distancia de luz |
| JA4X509 | JA4X | Huella digital del certificado TLS X509 |
| JA4SSH | JA4SSH | Huellas dactilares del tráfico SSH |
| JA4TCP | JA4T | Huellas dactilares del cliente TCP |
| Servidor JA4TCPS | JA4TS | Huella digital de respuesta del servidor TCP |
| JA4TCPScan | JA4TScan | Escáner de huellas dactilares TCP activo |
El nombre completo o el nombre corto se pueden utilizar indistintamente. Se están trabajando en métodos JA4+ adicionales...
Para entender cómo leer las huellas dactilares JA4+, consulte Detalles técnicos
JA4: TLS Client Fingerprinting es de código abierto, BSD de 3 cláusulas, igual que JA3. FoxIO no tiene reclamaciones de patentes y no planea buscar cobertura de patentes para JA4 TLS Client Fingerprinting. Esto permite que cualquier empresa o herramienta que actualmente utilice JA3 pueda actualizarse inmediatamente a JA4 sin demora.
JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan y todas las adiciones futuras (denominadas colectivamente JA4+) tienen la licencia FoxIO 1.1. Esta licencia es permisiva para la mayoría de los casos de uso, incluidos fines académicos y comerciales internos, pero no es permisiva para la monetización. Si, por ejemplo, una empresa desea utilizar JA4+ internamente para ayudar a proteger su propia empresa, está permitido. Si, por ejemplo, un proveedor desea vender huellas dactilares JA4+ como parte de su oferta de productos, deberá solicitarnos una licencia OEM.
Todos los métodos JA4+ están pendientes de patente.
JA4+ es una marca registrada de FoxIO
JA4+ puede implementarse y se está implementando en herramientas de código abierto; consulte las preguntas frecuentes sobre licencias para obtener más detalles.
Esta licencia nos permite ofrecer JA4+ al mundo de una manera abierta y utilizable de inmediato, pero también nos brinda una manera de financiar el apoyo continuo, la investigación de nuevos métodos y el desarrollo de la base de datos JA4+. Queremos que todos tengan la capacidad de utilizar JA4+ y estamos felices de trabajar con proveedores y proyectos de código abierto para ayudar a que eso suceda.
P: ¿Por qué estás clasificando los cifrados? ¿No importa el orden?
R: Sí, pero en nuestra investigación hemos descubierto que las aplicaciones y bibliotecas eligen una lista de cifrado única en lugar de un orden único. Esto también reduce la eficacia del "retraso del cifrado", una táctica de aleatorizar el orden de los cifrados para evitar la detección de JA3.
P: ¿Por qué estás clasificando las extensiones?
R: A principios de 2023, Google actualizó los navegadores Chromium para aleatorizar el orden de las extensiones. Al igual que el retraso del cifrado, esta fue una táctica para evitar la detección de JA3 y "hacer que el ecosistema TLS sea más robusto ante los cambios". A Google le preocupaba que los implementadores del servidor asumieran que la huella digital de Chrome nunca cambiaría y terminarían creando una lógica a su alrededor, lo que causaría problemas cada vez que Google actualizara Chrome.
Así que quiero dejar esto claro: las huellas digitales JA4 cambiarán a medida que se actualicen las bibliotecas TLS de las aplicaciones, aproximadamente una vez al año. No asuma que las huellas digitales permanecerán constantes en un entorno donde se actualizan las aplicaciones. En cualquier caso, ordenar las extensiones soluciona este problema y agregar algoritmos de firma preserva la unicidad.
P: ¿TLS 1.3 no dificulta la toma de huellas digitales de los clientes TLS?
R: No, ¡lo hace más fácil! Desde TLS 1.3, los clientes han tenido un conjunto mucho mayor de extensiones y, aunque TLS 1.3 solo admite algunos cifrados, los navegadores y las aplicaciones aún admiten muchos más.
John Althouse, con comentarios de:
jose atkins
Jeff Atkinson
Josué Alejandro
w.
joe martin
Ben Higgins
Andres Morris
Chris Ueland
Ben Schofield
Matías Vallentin
Valeriy Vorotyntsev
Timoteo Noel
Gary Lipsky
E ingenieros que trabajan en GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet y otros.
Comuníquese con John Althouse en [email protected] si tiene preguntas sobre licencias.
Copyright (c) 2024, FoxIO
