JA4+ adalah serangkaian metode sidik jari jaringan yang mudah digunakan dan dibagikan. Metode-metode ini dapat dibaca oleh manusia dan mesin untuk memfasilitasi perburuan dan analisis ancaman yang lebih efektif. Kasus penggunaan sidik jari ini mencakup pemindaian pelaku ancaman, deteksi malware, pencegahan pembajakan sesi, otomatisasi kepatuhan, pelacakan lokasi, deteksi DDoS, pengelompokan pelaku ancaman, deteksi shell terbalik, dan banyak lagi.
Silakan baca blog kami untuk mengetahui detail tentang cara kerja JA4+, alasan kerjanya, dan contoh hal-hal yang dapat dideteksi/dicegah dengan JA4+:
Sidik Jari Jaringan JA4+ (JA4/S/H/L/X/SSH)
JA4T: Sidik Jari TCP (JA4T/TS/TScan)
Menyelidiki Surfshark dan NordVPN dengan JA4T (JA4T)
Metode saat ini dan detail penerapannya:
| Nama Lengkap | Nama Pendek | Keterangan |
|---|---|---|
| JA4 | JA4 | Sidik Jari Klien TLS |
| Server JA4 | JA4S | Respons Server TLS/Sidik Jari Sesi |
| JA4HTTP | JA4H | Sidik Jari Klien HTTP |
| JA4Latensi | JA4L | Pengukuran Latensi Klien ke Server / Jarak Cahaya |
| JA4LatencyServer | JA4LS | Pengukuran Latensi Server ke Klien / Jarak Cahaya |
| JA4X509 | JA4X | Sidik Jari Sertifikat TLS X509 |
| JA4SSH | JA4SSH | Sidik Jari Lalu Lintas SSH |
| JA4TCP | JA4T | Sidik Jari Klien TCP |
| JA4TCPServer | JA4TS | Sidik Jari Respons Server TCP |
| JA4TCPScan | JA4TScan | Pemindai Sidik Jari TCP Aktif |
Nama lengkap atau nama pendek dapat digunakan secara bergantian. Metode JA4+ tambahan sedang dikerjakan...
Untuk memahami cara membaca sidik jari JA4+, lihat Detail Teknis
Repo ini mencakup JA4+ dengan Python, Rust, Zeek dan C, sebagai plugin Wireshark.
Alat yang mendukung JA4+:
| Alat/Penjual | Dukungan JA4+ |
|---|---|
| hiu kabel | JA4+ |
| Zeek | JA4+ |
| Arkime | JA4+ |
| Surikata | JA4 |
| Kebisingan Abu-abu | JA4+ (Anda harus memintanya) |
| Berburu | JA4+ |
| jaring apung | JA4X |
| Layar Gelap | JA4+ |
| GoLang | JA4X |
| enzim | JA4+ (sedang dikembangkan) |
| CapLoader Netresec | JA4+ (sedang dikembangkan) |
| NetworkMiner Netresec | JA4+ (sedang dikembangkan) |
| NGINX | JA4+ (sedang dikembangkan) |
| F5 IP BESAR | JA4+ |
| nfdump | JA4+ |
| ntop itu ntopng | JA4+ |
| nDPI ntop | JA4 |
| Tim Cymru | JA4+ (Anda harus memintanya) |
| NetQuest | JA4+ |
| Censy | JA4+ |
| Netryx dari Exploit.org | JA4 dan JA4H |
| awan suar | JA4 |
| Dengan cepat | JA4 |
| SALAH | JA4+ |
| OCSF | JA4+ |
| Vercel | JA4 |
| Seika | JA4+ |
| Total Virus | JA4 |
| AWS | JA4 |
dengan lebih banyak lagi yang akan diumumkan...
| Aplikasi | JA4+ Sidik Jari |
|---|---|
| krom | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (kunci yang dibagikan sebelumnya)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (tanpa kunci) |
| Penetes Malware IcedID | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| Malware IcedID | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| perangkat lunak perusak kecil | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| Serangan Kobalt | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| VPN LembutEther | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (klien)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| Qakbot | JA4X=2bab15409345_af684594efb4_000000000000 |
| Pikabot | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| Gerbang gelap | JA4H=po10nn060000_cdb958d032b0 |
| LummaC2 | JA4H=po11nn050000_d253db9d024b |
| Ginx jahat | JA4=t13d191000_9dc949149365_e7c285222651 |
| Membalikkan Cangkang SSH | JA4SSH=c76s76_c71s59_c0s70 |
| jendela 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| Pencetak Epson | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
Untuk contoh lainnya, lihat ja4plus-mapping.csv
Untuk database lengkap, lihat ja4db.com
hiu kabel
Zeek
Arkime
Disarankan untuk memiliki tshark versi 4.0.6 atau lebih baru untuk fungsionalitas penuh. Lihat: https://pkgs.org/search/?q=tshark
Unduh binari JA4 terbaru dari: Rilis.
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
Basis data resmi sidik jari JA4+, aplikasi terkait, dan logika deteksi yang direkomendasikan ada di sini: ja4db.com
Basis data ini sedang dalam pengembangan yang sangat aktif. Harapkan lebih banyak kombinasi sidik jari dan data dalam beberapa bulan ke depan (Agustus 2024).
Contoh ja4plus-mapping.csv juga tersedia untuk referensi cepat.
JA4+ adalah seperangkat sidik jari jaringan yang sederhana namun kuat untuk berbagai protokol yang dapat dibaca manusia dan mesin, memfasilitasi peningkatan perburuan ancaman dan analisis keamanan. Jika Anda belum terbiasa dengan sidik jari jaringan, saya mendorong Anda untuk membaca blog saya yang merilis JA3 di sini, JARM di sini, dan blog luar biasa ini oleh Fastly tentang Status Sidik Jari TLS yang menguraikan sejarah hal-hal tersebut di atas beserta masalahnya. JA4+ memberikan dukungan khusus, menjaga metode tetap up-to-date seiring dengan perubahan industri.
Semua sidik jari JA4+ memiliki format a_b_c, yang membatasi bagian-bagian berbeda yang membentuk sidik jari. Hal ini memungkinkan untuk berburu dan mendeteksi hanya menggunakan ab atau ac atau c saja. Jika seseorang hanya ingin melakukan analisis terhadap cookie yang masuk ke aplikasinya, mereka hanya akan melihat JA4H_c. Format baru yang melestarikan lokalitas ini memfasilitasi analisis yang lebih mendalam dan kaya namun tetap sederhana, mudah digunakan, dan memungkinkan perluasan.
Misalnya; GreyNoise adalah pendengar internet yang mengidentifikasi pemindai internet dan mengimplementasikan JA4+ ke dalam produk mereka. Mereka memiliki aktor yang memindai internet dengan sandi TLS tunggal yang terus berubah. Hal ini menghasilkan sejumlah besar sidik jari JA3 yang sangat berbeda namun dengan JA4, hanya bagian b dari sidik jari JA4 yang berubah, bagian a dan c tetap sama. Dengan demikian, GreyNoise dapat melacak aktor tersebut dengan melihat sidik jari JA4_ac (menggabungkan a+c, menghilangkan b).
Metode saat ini dan detail penerapannya:
| Nama Lengkap | Nama Pendek | Keterangan |
|---|---|---|
| JA4 | JA4 | Sidik Jari Klien TLS |
| Server JA4 | JA4S | Respons Server TLS/Sidik Jari Sesi |
| JA4HTTP | JA4H | Sidik Jari Klien HTTP |
| JA4Latensi | JA4L | Pengukuran Latensi Klien ke Server / Jarak Cahaya |
| JA4LatencyServer | JA4LS | Pengukuran Latensi Server ke Klien / Jarak Cahaya |
| JA4X509 | JA4X | Sidik Jari Sertifikat TLS X509 |
| JA4SSH | JA4SSH | Sidik Jari Lalu Lintas SSH |
| JA4TCP | JA4T | Sidik Jari Klien TCP |
| JA4TCPServer | JA4TS | Sidik Jari Respons Server TCP |
| JA4TCPScan | JA4TScan | Pemindai Sidik Jari TCP Aktif |
Nama lengkap atau nama pendek dapat digunakan secara bergantian. Metode JA4+ tambahan sedang dikerjakan...
Untuk memahami cara membaca sidik jari JA4+, lihat Detail Teknis
JA4: Sidik Jari Klien TLS adalah sumber terbuka, Klausul 3 BSD, sama seperti JA3. FoxIO tidak memiliki klaim paten dan tidak berencana untuk mendapatkan cakupan paten untuk Sidik Jari Klien TLS JA4. Hal ini memungkinkan perusahaan atau alat mana pun yang saat ini menggunakan JA3 untuk segera meningkatkan ke JA4 tanpa penundaan.
JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan dan semua tambahan di masa depan, (secara kolektif disebut sebagai JA4+) dilisensikan di bawah Lisensi FoxIO 1.1. Lisensi ini diperbolehkan untuk sebagian besar kasus penggunaan, termasuk untuk tujuan akademis dan bisnis internal, namun tidak diperbolehkan untuk monetisasi. Jika, misalnya, sebuah perusahaan ingin menggunakan JA4+ secara internal untuk membantu mengamankan perusahaannya, hal itu diperbolehkan. Jika, misalnya, vendor ingin menjual sidik jari JA4+ sebagai bagian dari penawaran produknya, mereka perlu meminta lisensi OEM dari kami.
Semua metode JA4+ masih dalam proses paten.
JA4+ adalah merek dagang dari FoxIO
JA4+ dapat dan sedang diimplementasikan ke dalam alat sumber terbuka, lihat FAQ Lisensi untuk detailnya.
Lisensi ini memungkinkan kami untuk menyediakan JA4+ kepada dunia dengan cara yang terbuka dan langsung dapat digunakan, namun juga memberi kami cara untuk mendanai dukungan berkelanjutan, penelitian metode baru, dan pengembangan Database JA4+. Kami ingin semua orang memiliki kemampuan untuk memanfaatkan JA4+ dan senang bekerja sama dengan vendor dan proyek sumber terbuka untuk membantu mewujudkannya.
T: Mengapa Anda mengurutkan sandi? Bukankah urutannya penting?
J: Ya, tetapi dalam penelitian kami, kami menemukan bahwa aplikasi dan perpustakaan lebih memilih daftar sandi unik daripada pengurutan unik. Hal ini juga mengurangi efektivitas “cipher stunting,” sebuah taktik mengacak urutan cipher untuk mencegah deteksi JA3.
T: Mengapa Anda mengurutkan ekstensi?
J: Sebelumnya pada tahun 2023, Google memperbarui browser Chromium untuk mengacak urutan ekstensinya. Sama seperti cipher stunting, ini adalah taktik untuk mencegah deteksi JA3 dan “membuat ekosistem TLS lebih kuat terhadap perubahan.” Google khawatir pelaksana server akan menganggap sidik jari Chrome tidak akan pernah berubah dan akhirnya membangun logika di sekitarnya, yang akan menyebabkan masalah setiap kali Google memperbarui Chrome.
Jadi saya ingin memperjelasnya: sidik jari JA4 akan berubah seiring dengan pembaruan pustaka TLS aplikasi, sekitar setahun sekali. Jangan berasumsi sidik jari akan tetap konstan di lingkungan tempat aplikasi diperbarui. Bagaimanapun, mengurutkan ekstensi dapat mengatasi hal ini dan menambahkan Algoritma Tanda Tangan akan menjaga keunikan.
T: Bukankah TLS 1.3 membuat sidik jari klien TLS lebih sulit?
A: Tidak, ini membuatnya lebih mudah! Sejak TLS 1.3, klien telah memiliki kumpulan ekstensi yang jauh lebih besar dan meskipun TLS1.3 hanya mendukung beberapa sandi, browser dan aplikasi masih mendukung lebih banyak lagi.
John Althouse, dengan masukan dari:
Josh Atkins
Jeff Atkinson
Yosua Alexander
W.
Joe Martin
Ben Higgins
Andrew Morris
Chris Ueland
Ben Schofield
Matthias Vallentin
Valeriy Vorotyntsev
Timotius Noel
Gary Lipsky
Dan insinyur yang bekerja di GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet, dan lainnya.
Hubungi John Althouse di [email protected] untuk perizinan dan pertanyaan.
Hak Cipta (c) 2024, FoxIO
