JA4+ は、使いやすく、共有しやすい一連のネットワーク フィンガープリント手法です。これらの方法は人間と機械の両方で読み取り可能であり、より効果的な脅威ハンティングと分析を促進します。これらのフィンガープリントのユースケースには、脅威アクターのスキャン、マルウェア検出、セッション ハイジャック防止、コンプライアンス自動化、位置追跡、DDoS 検出、脅威アクターのグループ化、リバース シェル検出などが含まれます。
JA4+ の仕組み、JA4+ が機能する理由、JA4+ で何が検出/防止できるかの例の詳細については、次のブログを参照してください。
JA4+ ネットワーク フィンガープリンティング (JA4/S/H/L/X/SSH)
JA4T: TCP フィンガープリンティング (JA4T/TS/TScan)
JA4T を使用した Surfshark と NordVPN の調査 (JA4T)
現在のメソッドと実装の詳細:
| フルネーム | ショートネーム | 説明 |
|---|---|---|
| JA4 | JA4 | TLS クライアントのフィンガープリンティング |
| JA4サーバー | JA4S | TLSサーバー応答/セッションフィンガープリンティング |
| JA4HTTP | JA4H | HTTP クライアントのフィンガープリンティング |
| JA4レイテンシ | JA4L | クライアントからサーバーまでの遅延測定 / 光距離 |
| JA4LatencyServer | JA4LS | サーバーからクライアントへの遅延測定 / 光距離 |
| JA4X509 | JA4X | X509 TLS 証明書のフィンガープリンティング |
| JA4SSH | JA4SSH | SSHトラフィックフィンガープリンティング |
| JA4TCP | JA4T | TCP クライアントのフィンガープリンティング |
| JA4TCPサーバー | JA4TS | TCP サーバー応答のフィンガープリンティング |
| JA4TCPScan | JA4TScan | アクティブ TCP 指紋スキャナー |
フルネームとショートネームは同じ意味で使用できます。追加の JA4+ メソッドは現在開発中です...
JA4+ フィンガープリントの読み取り方法を理解するには、「技術的な詳細」を参照してください。
このリポジトリには、Python、Rust、Zeek、C の JA4+ が Wireshark プラグインとして含まれています。
JA4+ をサポートするツール:
| ツール/ベンダー | JA4+ のサポート |
|---|---|
| ワイヤーシャーク | JA4+ |
| ジーク | JA4+ |
| アルキメ | JA4+ |
| スリカタ | JA4 |
| グレイノイズ | JA4+ (要求する必要があります) |
| ハント | JA4+ |
| 流し網 | JA4X |
| ダークセイル | JA4+ |
| GoLang | JA4X |
| 酵素 | JA4+(開発中) |
| Netresec の CapLoader | JA4+(開発中) |
| Netresec の NetworkMiner | JA4+(開発中) |
| NGINX | JA4+(開発中) |
| F5ビッグIP | JA4+ |
| nfdump | JA4+ |
| ntopのntopng | JA4+ |
| ntopのnDPI | JA4 |
| チーム・シムル | JA4+ (要求する必要があります) |
| ネットクエスト | JA4+ |
| センシス | JA4+ |
| Exploit.org の Netryx | JA4およびJA4H |
| クラウドフレア | JA4 |
| 早く | JA4 |
| ミスプ | JA4+ |
| OCSF | JA4+ |
| ヴェルセル | JA4 |
| 精華 | JA4+ |
| ウイルス合計 | JA4 |
| AWS | JA4 |
さらに発表される予定です...
| 応用 | JA4+ フィンガープリント |
|---|---|
| クロム | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (事前共有キー)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (鍵なし) |
| IcedID マルウェア ドロッパー | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| IcedID マルウェア | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| スライバーマルウェア | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| コバルトストライク | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| ソフトイーサVPN | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (クライアント)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| カクボット | JA4X=2bab15409345_af684594efb4_000000000000 |
| ピカボット | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| ダークゲート | JA4H=po10nn060000_cdb958d032b0 |
| ルマC2 | JA4H=po11nn050000_d253db9d024b |
| イビルギンクス | JA4=t13d191000_9dc949149365_e7c285222651 |
| リバース SSH シェル | JA4SSH=c76s76_c71s59_c0s70 |
| Windows 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| エプソンプリンター | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
その他の例については、ja4plus-mapping.csv を参照してください。
完全なデータベースについては、ja4db.com を参照してください。
ワイヤーシャーク
ジーク
アルキメ
すべての機能を利用するには、tshark バージョン 4.0.6 以降を使用することをお勧めします。参照: https://pkgs.org/search/?q=tshark
最新の JA4 バイナリを「リリース」からダウンロードします。
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
フィンガープリント、関連アプリケーション、推奨される検出ロジックの公式 JA4+ データベースは、ja4db.com にあります。
このデータベースは非常に活発に開発中です。今後数か月間 (2024 年 8 月) には、桁違いに多くの指紋の組み合わせとデータが発生すると予想されます。
サンプルの ja4plus-mapping.csv もクイックリファレンスとして利用できます。
JA4+ は、人間と機械の両方が読み取り可能な複数のプロトコル用のシンプルかつ強力なネットワーク フィンガープリントのセットであり、脅威ハンティングとセキュリティ分析の向上を促進します。ネットワーク フィンガープリンティングに詳しくない場合は、JA3 をリリースしている私のブログをここで、JARM をここで、そして TLS フィンガープリンティングの現状に関する Fastly によるこの優れたブログを読むことをお勧めします。このブログでは、前述の歴史とその問題点を概説しています。 JA4+ は専用のサポートを提供し、業界の変化に合わせてメソッドを最新の状態に保ちます。
すべての JA4+ フィンガープリントは、フィンガープリントを構成するさまざまなセクションを区切る a_b_c 形式を持っています。これにより、ab または ac または c のみを利用したハンティングと検出が可能になります。アプリに受信する Cookie の分析だけを行いたい場合は、JA4H_c のみを調べることになります。この新しい局所性を保持する形式は、シンプルで使いやすく、拡張性を備えながら、より深く充実した分析を容易にします。
例えば; GreyNoise は、インターネット スキャナーを識別するインターネット リスナーであり、自社の製品に JA4+ を実装しています。彼らには、常に変化する単一の TLS 暗号を使用してインターネットをスキャンする攻撃者がいます。これにより、まったく異なる JA3 フィンガープリントが大量に生成されますが、JA4 では、JA4 フィンガープリントの b 部分のみが変更され、a 部分と c 部分は同じままになります。そのため、GreyNoise は JA4_ac フィンガープリントを調べることでアクターを追跡できます (a+c を結合し、b をドロップします)。
現在のメソッドと実装の詳細:
| フルネーム | ショートネーム | 説明 |
|---|---|---|
| JA4 | JA4 | TLS クライアントのフィンガープリンティング |
| JA4サーバー | JA4S | TLSサーバー応答/セッションフィンガープリンティング |
| JA4HTTP | JA4H | HTTP クライアントのフィンガープリンティング |
| JA4レイテンシ | JA4L | クライアントからサーバーまでの遅延測定 / 光距離 |
| JA4LatencyServer | JA4LS | サーバーからクライアントへの遅延測定 / 光距離 |
| JA4X509 | JA4X | X509 TLS 証明書のフィンガープリンティング |
| JA4SSH | JA4SSH | SSHトラフィックフィンガープリンティング |
| JA4TCP | JA4T | TCP クライアントのフィンガープリンティング |
| JA4TCPサーバー | JA4TS | TCP サーバー応答のフィンガープリンティング |
| JA4TCPScan | JA4TScan | アクティブ TCP 指紋スキャナー |
フルネームとショートネームは同じ意味で使用できます。追加の JA4+ メソッドは現在開発中です...
JA4+ フィンガープリントの読み取り方法を理解するには、「技術的な詳細」を参照してください。
JA4: TLS クライアント フィンガープリンティングは、JA3 と同じ、オープンソースの BSD 3-Clause です。 FoxIO は特許請求を行っておらず、JA4 TLS クライアント フィンガープリンティングの特許適用範囲を追求する予定はありません。これにより、現在 JA3 を使用している企業やツールは、遅滞なく直ちに JA4 にアップグレードできます。
JA4S、JA4L、JA4LS、JA4H、JA4X、JA4SSH、JA4T、JA4TS、JA4TScan、および将来のすべての追加機能 (総称して JA4+ と呼ばれます) は、 FoxIO License 1.1 に基づいてライセンスされています。このライセンスは、学術目的や社内ビジネス目的を含むほとんどのユースケースに許可されていますが、収益化には許可されていません。たとえば、企業が自社のセキュリティを確保するために内部で JA4+ を使用したい場合、それは許可されます。たとえば、ベンダーが製品の一部として JA4+ フィンガープリンティングを販売したい場合は、当社に OEM ライセンスをリクエストする必要があります。
すべての JA4+ メソッドは特許出願中です。
JA4+ は FoxIO の商標です
JA4+ はオープン ソース ツールに実装でき、実装されています。詳細については、ライセンス FAQ を参照してください。
このライセンスにより、オープンですぐに使用できる方法で JA4+ を世界に提供できるようになりますが、継続的なサポート、新しい手法の研究、JA4+ データベースの開発に資金を提供する方法も提供されます。私たちは、誰もが JA4+ を利用できるようにしたいと考えており、その実現を支援するためにベンダーやオープンソース プロジェクトと喜んで協力します。
Q: なぜ暗号を分類するのですか?順番は関係ないんですか?
A: 確かにそうですが、私たちの調査では、アプリケーションとライブラリは一意の順序よりも一意の暗号リストを選択することがわかりました。これにより、JA3 の検出を防ぐために暗号の順序をランダム化する戦術である「暗号スタント」の有効性も低下します。
Q: 拡張子を並べ替えるのはなぜですか?
A: 2023 年の初めに、Google は拡張機能の順序をランダムにするために Chromium ブラウザを更新しました。暗号の阻害と同様に、これは JA3 の検出を防ぎ、「TLS エコシステムを変更に対してより堅牢にする」ための戦術でした。 Google は、サーバー実装者が Chrome フィンガープリントが決して変更されないと想定し、それを中心としたロジックを構築することになり、Google が Chrome を更新するたびに問題が発生することを懸念していました。
したがって、これを明確にしておきたいのですが、JA4 フィンガープリントは、アプリケーション TLS ライブラリが約 1 年に更新されると変更されます。アプリケーションが更新される環境では、フィンガープリントが一定のままであると想定しないでください。いずれの場合も、拡張機能を並べ替えることでこの問題を回避し、署名アルゴリズムを追加することで一意性が維持されます。
Q: TLS 1.3 では TLS クライアントのフィンガープリントが難しくなりませんか?
A: いいえ、その方が簡単です! TLS 1.3 以降、クライアントにはさらに多くの拡張機能があり、TLS1.3 では少数の暗号のみがサポートされていますが、ブラウザーとアプリケーションは依然として多くの暗号をサポートしています。
John Althouse 氏、フィードバック:
ジョシュ・アトキンス
ジェフ・アトキンソン
ジョシュア・アレクサンダー
W.
ジョー・マーティン
ベン・ヒギンズ
アンドリュー・モリス
クリス・ユーランド
ベン・スコフィールド
マティアス・バレンティン
ヴァレリー・ヴォロチンツェフ
ティモシー・ノエル
ゲイリー・リプスキー
そしてGreyNoise、Hunt、Google、ExtraHop、F5、Driftnetなどで働くエンジニアたち。
ライセンスおよび質問については、John Althouse ([email protected]) までお問い合わせください。
著作権 (c) 2024、FoxIO
