JA4+ est une suite de méthodes d’empreintes réseau faciles à utiliser et à partager. Ces méthodes sont à la fois lisibles par l’homme et la machine pour faciliter une chasse et une analyse plus efficaces des menaces. Les cas d'utilisation de ces empreintes digitales incluent l'analyse des acteurs malveillants, la détection des logiciels malveillants, la prévention du détournement de session, l'automatisation de la conformité, le suivi de la localisation, la détection DDoS, le regroupement des acteurs malveillants, la détection du shell inversé et bien d'autres.
Veuillez lire nos blogs pour plus de détails sur le fonctionnement de JA4+, pourquoi il fonctionne et des exemples de ce qui peut être détecté/évité grâce à lui :
Prise d'empreintes réseau JA4+ (JA4/S/H/L/X/SSH)
JA4T : empreintes digitales TCP (JA4T/TS/TScan)
Enquête sur Surfshark et NordVPN avec JA4T (JA4T)
Méthodes actuelles et détails de mise en œuvre :
| Nom et prénom | Nom court | Description |
|---|---|---|
| JA4 | JA4 | Empreinte digitale client TLS |
| Serveur JA4 | JA4S | Réponse du serveur TLS/empreinte digitale de session |
| JA4HTTP | JA4H | Empreinte digitale du client HTTP |
| JA4Latence | JA4L | Mesure de la latence client à serveur/distance de lumière |
| JA4LatencyServeur | JA4LS | Mesure de la latence du serveur au client/distance de lumière |
| JA4X509 | JA4X | Empreinte digitale du certificat X509 TLS |
| JA4SSH | JA4SSH | Empreinte digitale du trafic SSH |
| JA4TCP | JA4T | Empreinte digitale du client TCP |
| Serveur JA4TCP | JA4TS | Empreinte digitale de réponse du serveur TCP |
| JA4TCPScan | JA4TScan | Scanner d'empreintes digitales TCP actif |
Le nom complet ou le nom abrégé peuvent être utilisés de manière interchangeable. Des méthodes JA4+ supplémentaires sont en préparation...
Pour comprendre comment lire les empreintes digitales JA4+, voir Détails techniques
Ce référentiel inclut JA4+ en Python, Rust, Zeek et C, en tant que plugin Wireshark.
Outils prenant en charge JA4+ :
| Outil/Fournisseur | Prise en charge JA4+ |
|---|---|
| Requin filaire | JA4+ |
| Zeek | JA4+ |
| Arkimé | JA4+ |
| Suricate | JA4 |
| GrisBruit | JA4+ (il faut le demander) |
| Chasse | JA4+ |
| Filet dérivant | JA4X |
| Voile Sombre | JA4+ |
| GoLang | JA4X |
| nzyme | JA4+ (en cours de développement) |
| CapLoader de Netresec | JA4+ (en cours de développement) |
| NetworkMiner de Netresec | JA4+ (en cours de développement) |
| NGINX | JA4+ (en cours de développement) |
| F5 GRAND-IP | JA4+ |
| nfdump | JA4+ |
| ntop est ntopng | JA4+ |
| nDPI de ntop | JA4 |
| L'équipe Cymru | JA4+ (il faut le demander) |
| NetQuest | JA4+ |
| Censys | JA4+ |
| Netryx d'Exploit.org | JA4 et JA4H |
| Flare nuageuse | JA4 |
| Rapidement | JA4 |
| DMU | JA4+ |
| OCSF | JA4+ |
| Vercel | JA4 |
| Seika | JA4+ |
| VirusTotal | JA4 |
| AWS | JA4 |
et d'autres seront annoncés...
| Application | JA4+ Empreintes digitales |
|---|---|
| Chrome | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (clé pré-partagée)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (pas de clé) |
| Compte-gouttes de logiciels malveillants IcedID | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| Logiciel malveillant IcedID | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| Logiciel malveillant Sliver | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| Frappe au cobalt | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| VPN SoftEther | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (client)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| Qakbot | JA4X=2bab15409345_af684594efb4_000000000000 |
| Pikabot | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| Porte Sombre | JA4H=po10nn060000_cdb958d032b0 |
| LummaC2 | JA4H=po11nn050000_d253db9d024b |
| Malginx | JA4=t13d191000_9dc949149365_e7c285222651 |
| Shell SSH inversé | JA4SSH=c76s76_c71s59_c0s70 |
| Windows 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| Imprimante Epson | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
Pour plus d'exemples, consultez ja4plus-mapping.csv
Pour une base de données complète, voir ja4db.com
Requin filaire
Zeek
Arkimé
Il est recommandé d'avoir tshark version 4.0.6 ou ultérieure pour une fonctionnalité complète. Voir : https://pkgs.org/search/?q=tshark
Téléchargez les derniers binaires JA4 à partir de : Releases.
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
La base de données officielle JA4+ des empreintes digitales, des applications associées et de la logique de détection recommandée est ici : ja4db.com
Cette base de données est en développement très actif. Attendez-vous à des ordres de grandeur supplémentaires de combinaisons d’empreintes digitales et de données au cours des prochains mois (août 2024).
Un exemple de ja4plus-mapping.csv est également disponible pour référence rapide.
JA4+ est un ensemble d'empreintes réseau simples mais puissantes pour plusieurs protocoles, lisibles à la fois par l'homme et par la machine, facilitant une meilleure chasse aux menaces et une analyse de sécurité. Si vous n'êtes pas familier avec les empreintes digitales réseau, je vous encourage à lire mes blogs publiant JA3 ici, JARM ici, et cet excellent blog de Fastly sur l'état des empreintes digitales TLS qui décrit l'historique de ceux-ci ainsi que leurs problèmes. JA4+ apporte un support dédié, gardant les méthodes à jour à mesure que le secteur évolue.
Toutes les empreintes JA4+ ont un format a_b_c, délimitant les différentes sections qui composent l'empreinte digitale. Cela permet la recherche et la détection en utilisant uniquement ab, ac ou c. Si l'on voulait simplement effectuer une analyse des cookies entrants dans son application, il examinerait uniquement JA4H_c. Ce nouveau format préservant la localité facilite une analyse plus approfondie et plus riche tout en restant simple, facile à utiliser et permettant une extensibilité.
Par exemple; GreyNoise est un écouteur Internet qui identifie les scanners Internet et implémente JA4+ dans son produit. Ils ont un acteur qui scanne Internet avec un chiffre TLS unique en constante évolution. Cela génère une quantité massive d'empreintes digitales JA3 complètement différentes, mais avec JA4, seule la partie b de l'empreinte digitale JA4 change, les parties a et c restent les mêmes. En tant que tel, GreyNoise peut suivre l'acteur en regardant l'empreinte digitale JA4_ac (en joignant a+c, en supprimant b).
Méthodes actuelles et détails de mise en œuvre :
| Nom et prénom | Nom court | Description |
|---|---|---|
| JA4 | JA4 | Empreinte digitale client TLS |
| Serveur JA4 | JA4S | Réponse du serveur TLS/empreinte digitale de session |
| JA4HTTP | JA4H | Empreinte digitale du client HTTP |
| JA4Latence | JA4L | Mesure de la latence client à serveur/distance de lumière |
| JA4LatencyServeur | JA4LS | Mesure de la latence du serveur au client/distance de lumière |
| JA4X509 | JA4X | Empreinte digitale du certificat X509 TLS |
| JA4SSH | JA4SSH | Empreinte digitale du trafic SSH |
| JA4TCP | JA4T | Empreinte digitale du client TCP |
| Serveur JA4TCP | JA4TS | Empreinte digitale de réponse du serveur TCP |
| JA4TCPScan | JA4TScan | Scanner d'empreintes digitales TCP actif |
Le nom complet ou le nom abrégé peuvent être utilisés de manière interchangeable. Des méthodes JA4+ supplémentaires sont en préparation...
Pour comprendre comment lire les empreintes digitales JA4+, voir Détails techniques
JA4 : TLS Client Fingerprinting est open source, BSD 3-Clause, identique à JA3. FoxIO n'a pas de revendications de brevet et n'envisage pas de demander une couverture de brevet pour JA4 TLS Client Fingerprinting. Cela permet à toute entreprise ou outil utilisant actuellement JA3 de passer immédiatement à JA4 sans délai.
JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan et tous les ajouts futurs (collectivement appelés JA4+) sont sous licence FoxIO License 1.1. Cette licence est permissive pour la plupart des cas d'utilisation, y compris à des fins académiques et commerciales internes, mais n'est pas permise pour la monétisation. Si, par exemple, une entreprise souhaite utiliser JA4+ en interne pour sécuriser sa propre entreprise, cela est autorisé. Si, par exemple, un fournisseur souhaite vendre les empreintes digitales JA4+ dans le cadre de son offre de produits, il devra nous demander une licence OEM.
Toutes les méthodes JA4+ sont en instance de brevet.
JA4+ est une marque commerciale de FoxIO
JA4+ peut et est en cours d'implémentation dans des outils open source, consultez la FAQ sur les licences pour plus de détails.
Cette licence nous permet de fournir JA4+ au monde d'une manière ouverte et immédiatement utilisable, mais nous fournit également un moyen de financer un soutien continu, la recherche de nouvelles méthodes et le développement de la base de données JA4+. Nous souhaitons que tout le monde ait la possibilité d'utiliser JA4+ et sommes heureux de travailler avec des fournisseurs et des projets open source pour y parvenir.
Q : Pourquoi triez-vous les chiffres ? La commande n'a-t-elle pas d'importance ?
R : C'est le cas, mais dans nos recherches, nous avons constaté que les applications et les bibliothèques choisissent une liste de chiffrement unique plutôt qu'un ordre unique. Cela réduit également l’efficacité du « retard de chiffrement », une tactique de randomisation de l’ordre de chiffrement pour empêcher la détection de JA3.
Q : Pourquoi triez-vous les extensions ?
R : Plus tôt en 2023, Google a mis à jour les navigateurs Chromium pour randomiser l'ordre de leurs extensions. Tout comme le retard de chiffrement, il s’agissait d’une tactique visant à empêcher la détection de JA3 et à « rendre l’écosystème TLS plus robuste aux changements ». Google craignait que les responsables de la mise en œuvre du serveur supposent que l'empreinte digitale de Chrome ne changerait jamais et finiraient par construire une logique autour d'elle, ce qui entraînerait des problèmes chaque fois que Google mettrait à jour Chrome.
Je tiens donc à être clair : les empreintes digitales JA4 changeront à mesure que les bibliothèques TLS des applications seront mises à jour, environ une fois par an. Ne présumez pas que les empreintes digitales resteront constantes dans un environnement où les applications sont mises à jour. Dans tous les cas, le tri des extensions contourne ce problème et l’ajout d’algorithmes de signature préserve l’unicité.
Q : TLS 1.3 ne rend-il pas la prise d'empreintes digitales des clients TLS plus difficile ?
R : Non, cela rend les choses plus faciles ! Depuis TLS 1.3, les clients disposent d'un ensemble d'extensions beaucoup plus important et même si TLS1.3 ne prend en charge que quelques chiffrements, les navigateurs et les applications en prennent toujours en charge beaucoup plus.
John Althouse, avec les commentaires de :
Josh Atkins
Jeff Atkinson
Josué Alexandre
W.
Joe Martin
Ben Higgins
Andrew Morris
Chris Ueland
Ben Schofield
Matthias Vallentin
Valéri Vorotyntsev
Timothée Noël
Gary Lipsky
Et des ingénieurs travaillant chez GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet et autres.
Contactez John Althouse à [email protected] pour les licences et les questions.
Copyright (c) 2024, FoxIO
