JA4+는 사용하기 쉽고 공유하기 쉬운 네트워크 핑거프린팅 방법 모음입니다. 이러한 방법은 사람과 기계가 모두 읽을 수 있어 보다 효과적인 위협 추적 및 분석이 가능합니다. 이러한 지문의 사용 사례에는 위협 행위자 검색, 악성코드 탐지, 세션 하이재킹 방지, 규정 준수 자동화, 위치 추적, DDoS 탐지, 위협 행위자 그룹화, 리버스 셸 탐지 등이 포함됩니다.
JA4+의 작동 방식, 작동 이유, 감지/방지할 수 있는 사항의 예에 대한 자세한 내용은 블로그를 읽어보세요.
JA4+ 네트워크 핑거프린팅(JA4/S/H/L/X/SSH)
JA4T: TCP 지문 인식(JA4T/TS/TScan)
JA4T(JA4T)를 사용하여 Surfshark 및 NordVPN 조사
현재 방법 및 구현 세부정보:
| 성명 | 짧은 이름 | 설명 |
|---|---|---|
| JA4 | JA4 | TLS 클라이언트 핑거프린팅 |
| JA4서버 | JA4S | TLS 서버 응답/세션 핑거프린팅 |
| JA4HTTP | JA4H | HTTP 클라이언트 핑거프린팅 |
| JA4지연 | JA4L | 클라이언트-서버 지연 측정/광거리 |
| JA4지연 서버 | JA4LS | 서버-클라이언트 지연 측정/광거리 |
| JA4X509 | JA4X | X509 TLS 인증서 지문 채취 |
| JA4SSH | JA4SSH | SSH 트래픽 핑거프린팅 |
| JA4TCP | JA4T | TCP 클라이언트 핑거프린팅 |
| JA4TCP서버 | JA4TS | TCP 서버 응답 핑거프린팅 |
| JA4TCP스캔 | JA4T스캔 | 활성 TCP 지문 스캐너 |
전체 이름이나 짧은 이름은 같은 의미로 사용될 수 있습니다. 추가 JA4+ 방법이 작업 중입니다...
JA4+ 지문을 읽는 방법을 이해하려면 기술 세부 사항을 참조하세요.
이 저장소에는 Python, Rust, Zeek 및 C의 JA4+가 Wireshark 플러그인으로 포함되어 있습니다.
JA4+를 지원하는 도구:
| 도구/공급업체 | JA4+ 지원 |
|---|---|
| 와이어샤크 | JA4+ |
| 지크 | JA4+ |
| 아르키메 | JA4+ |
| 수리카타 | JA4 |
| 그레이노이즈 | JA4+(요청해야 함) |
| 사냥 | JA4+ |
| 드리프트넷 | JA4X |
| 다크세일 | JA4+ |
| GoLang | JA4X |
| 효소 | JA4+(개발 중) |
| Netresec의 CapLoader | JA4+(개발 중) |
| Netresec의 NetworkMiner | JA4+(개발 중) |
| 엔진엑스 | JA4+(개발 중) |
| F5 빅-IP | JA4+ |
| nfdump | JA4+ |
| ntop의 ntopng | JA4+ |
| ntop의 nDPI | JA4 |
| 팀 킴루 | JA4+(요청해야 함) |
| 넷퀘스트 | JA4+ |
| 센시스 | JA4+ |
| Exploit.org의 Netryx | JA4 및 JA4H |
| 클라우드플레어 | JA4 |
| 빠르게 | JA4 |
| 실수 | JA4+ |
| OCSF | JA4+ |
| 베르셀 | JA4 |
| 세이카 | JA4+ |
| 바이러스 총계 | JA4 |
| AWS | JA4 |
더 많은 내용이 발표될 예정입니다...
| 애플리케이션 | JA4+ 지문 |
|---|---|
| 크롬 | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (사전 공유 키)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (키 없음) |
| IcedID 악성 코드 드로퍼 | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| IcedID 악성코드 | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| 슬리버 악성코드 | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| 코발트 스트라이크 | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| 소프트이더 VPN | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (클라이언트)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| Qakbot | JA4X=2bab15409345_af684594efb4_000000000000 |
| 피카봇 | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| 다크게이트 | JA4H=po10nn060000_cdb958d032b0 |
| 루마C2 | JA4H=po11nn050000_d253db9d024b |
| 이블긴스 | JA4=t13d191000_9dc949149365_e7c285222651 |
| 역방향 SSH 셸 | JA4SSH=c76s76_c71s59_c0s70 |
| 윈도우 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| 엡손 프린터 | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
더 많은 예를 보려면 ja4plus-mapping.csv를 참조하세요.
전체 데이터베이스를 보려면 ja4db.com을 참조하세요.
와이어샤크
지크
아르키메
전체 기능을 사용하려면 tshark 버전 4.0.6 이상을 사용하는 것이 좋습니다. 참조: https://pkgs.org/search/?q=tshark
릴리스에서 최신 JA4 바이너리를 다운로드하세요.
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
지문, 관련 애플리케이션 및 권장 감지 로직이 포함된 공식 JA4+ 데이터베이스는 여기에 있습니다: ja4db.com
이 데이터베이스는 매우 활발하게 개발 중입니다. 앞으로 몇 달 동안(2024년 8월) 더 많은 지문 조합과 데이터가 나올 것으로 예상됩니다.
빠른 참조를 위해 샘플 ja4plus-mapping.csv도 제공됩니다.
JA4+는 사람과 기계가 모두 읽을 수 있는 여러 프로토콜에 대한 간단하면서도 강력한 네트워크 지문 세트로, 향상된 위협 추적 및 보안 분석을 촉진합니다. 네트워크 핑거프린팅에 익숙하지 않다면 여기에서 JA3를 발표하는 내 블로그, 여기에서 JARM을 읽어보고 앞서 언급한 문제와 함께 앞서 언급한 문제의 역사를 개략적으로 설명하는 Fastly의 TLS 핑거프린팅 상태에 관한 훌륭한 블로그를 읽어보시기 바랍니다. JA4+는 전담 지원을 제공하여 업계 변화에 따라 방법을 최신 상태로 유지합니다.
모든 JA4+ 지문에는 지문을 구성하는 다양한 섹션을 구분하는 a_b_c 형식이 있습니다. 이를 통해 ab, ac 또는 c만을 사용하여 헌팅 및 탐지가 가능합니다. 앱으로 들어오는 쿠키를 분석하고 싶다면 JA4H_c만 살펴보세요. 이 새로운 지역성을 보존하는 형식은 간단하고 사용하기 쉬우며 확장성을 허용하면서 더욱 심층적이고 풍부한 분석을 촉진합니다.
예를 들어; GreyNoise는 인터넷 스캐너를 식별하고 해당 제품에 JA4+를 구현하는 인터넷 수신기입니다. 끊임없이 변화하는 단일 TLS 암호로 인터넷을 검색하는 행위자가 있습니다. 이로 인해 완전히 다른 JA3 지문이 엄청나게 많이 생성되지만 JA4에서는 JA4 지문의 b 부분만 변경되고 a 부분과 c 부분은 동일하게 유지됩니다. 따라서 GreyNoise는 JA4_ac 지문(a+c 결합, b 삭제)을 보고 액터를 추적할 수 있습니다.
현재 방법 및 구현 세부정보:
| 성명 | 짧은 이름 | 설명 |
|---|---|---|
| JA4 | JA4 | TLS 클라이언트 핑거프린팅 |
| JA4서버 | JA4S | TLS 서버 응답/세션 핑거프린팅 |
| JA4HTTP | JA4H | HTTP 클라이언트 핑거프린팅 |
| JA4지연 | JA4L | 클라이언트-서버 지연 측정/광거리 |
| JA4지연 서버 | JA4LS | 서버-클라이언트 지연 측정/광거리 |
| JA4X509 | JA4X | X509 TLS 인증서 지문 채취 |
| JA4SSH | JA4SSH | SSH 트래픽 핑거프린팅 |
| JA4TCP | JA4T | TCP 클라이언트 핑거프린팅 |
| JA4TCP서버 | JA4TS | TCP 서버 응답 핑거프린팅 |
| JA4TCP스캔 | JA4T스캔 | 활성 TCP 지문 스캐너 |
전체 이름이나 짧은 이름은 같은 의미로 사용될 수 있습니다. 추가 JA4+ 방법이 작업 중입니다...
JA4+ 지문을 읽는 방법을 이해하려면 기술 세부 사항을 참조하세요.
JA4: TLS 클라이언트 핑거프린팅은 JA3와 동일한 오픈 소스 BSD 3-Clause입니다. FoxIO는 특허 청구가 없으며 JA4 TLS 클라이언트 핑거프린팅에 대한 특허 적용을 추구할 계획이 없습니다. 이를 통해 현재 JA3를 사용하는 회사나 도구는 지체 없이 즉시 JA4로 업그레이드할 수 있습니다.
JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan 및 향후 추가되는 모든 항목(통칭하여 JA4+라고 함)은 FoxIO 라이선스 1.1에 따라 라이선스가 부여됩니다. 이 라이선스는 학술 및 내부 비즈니스 목적을 포함한 대부분의 사용 사례에 허용되지만 수익 창출에는 허용되지 않습니다. 예를 들어, 회사가 자체 회사 보안을 위해 내부적으로 JA4+를 사용하려는 경우 이는 허용됩니다. 예를 들어 공급업체가 제품 제공의 일부로 JA4+ 지문 인식을 판매하려는 경우 당사에 OEM 라이센스를 요청해야 합니다.
모든 JA4+ 방법은 특허 출원 중입니다.
JA4+는 FoxIO의 상표입니다.
JA4+는 오픈 소스 도구로 구현될 수 있으며 구현되고 있습니다. 자세한 내용은 라이센스 FAQ를 참조하세요.
이 라이센스를 통해 우리는 공개적이고 즉시 사용할 수 있는 방식으로 전 세계에 JA4+를 제공할 수 있을 뿐만 아니라 지속적인 지원, 새로운 방법에 대한 연구 및 JA4+ 데이터베이스 개발에 자금을 지원할 수 있는 방법도 제공합니다. 우리는 모든 사람이 JA4+를 활용할 수 있기를 바라며 공급업체 및 오픈 소스 프로젝트와 협력하여 이를 실현할 수 있게 되어 기쁩니다.
Q: 암호를 정렬하는 이유는 무엇인가요? 순서는 상관없나요?
A: 그렇습니다. 하지만 우리 연구에서 애플리케이션과 라이브러리는 고유한 순서보다 고유한 암호 목록을 선택하는 것으로 나타났습니다. 이는 또한 JA3 감지를 방지하기 위해 암호 순서를 무작위로 지정하는 전술인 "암호 스턴트"의 효율성을 감소시킵니다.
Q: 확장자를 정렬하는 이유는 무엇인가요?
A: 2023년 초 Google은 확장 프로그램 순서를 무작위로 지정하기 위해 Chromium 브라우저를 업데이트했습니다. 암호 스턴트와 마찬가지로 이는 JA3 감지를 방지하고 "TLS 생태계를 변경에 더욱 강력하게 만들기" 위한 전술이었습니다. Google은 서버 구현자가 Chrome 지문이 절대 변경되지 않을 것이라고 가정하고 결국 이를 중심으로 논리를 구축하게 되어 Google이 Chrome을 업데이트할 때마다 문제를 일으킬 것이라고 걱정했습니다.
따라서 저는 이것을 분명히 하고 싶습니다. JA4 지문은 애플리케이션 TLS 라이브러리가 약 1년에 한 번씩 업데이트됨에 따라 변경됩니다. 애플리케이션이 업데이트되는 환경에서 지문이 일정하게 유지될 것이라고 가정하지 마십시오. 어쨌든 확장 기능을 정렬하면 이 문제가 해결되고 서명 알고리즘을 추가하면 고유성이 유지됩니다.
Q: TLS 1.3으로 인해 TLS 클라이언트 지문 채취가 더 어려워지지 않습니까?
A: 아니요, 그러면 더 쉬워집니다! TLS 1.3 이후 클라이언트에는 훨씬 더 많은 확장 세트가 있으며 TLS1.3은 소수의 암호만 지원하지만 브라우저와 애플리케이션은 여전히 더 많은 암호를 지원합니다.
John Althouse, 피드백 제공:
조쉬 앳킨스
제프 앳킨슨
조슈아 알렉산더
W.
조 마틴
벤 히긴스
앤드류 모리스
크리스 우랜드
벤 스코필드
마티아스 발렌틴
발레리 보로틴체프
티모시 노엘
게리 립스키
GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet 등에서 근무하는 엔지니어들도 있습니다.
라이센스 및 질문은 John Althouse([email protected])에게 문의하세요.
저작권 (c) 2024, FoxIO
