JA4+ é um conjunto de métodos de impressão digital de rede que são fáceis de usar e compartilhar. Esses métodos são legíveis por humanos e máquinas para facilitar a caça e análise de ameaças mais eficazes. Os casos de uso dessas impressões digitais incluem verificação de agentes de ameaças, detecção de malware, prevenção de sequestro de sessão, automação de conformidade, rastreamento de localização, detecção de DDoS, agrupamento de agentes de ameaças, detecção de shell reverso e muito mais.
Por favor, leia nossos blogs para obter detalhes sobre como o JA4+ funciona, por que funciona e exemplos do que pode ser detectado/prevenido com ele:
Impressão digital de rede JA4+ (JA4/S/H/L/X/SSH)
JA4T: Impressão digital TCP (JA4T/TS/TScan)
Investigando Surfshark e NordVPN com JA4T (JA4T)
Métodos atuais e detalhes de implementação:
| Nome completo | Nome curto | Descrição |
|---|---|---|
| JA4 | JA4 | Impressão digital do cliente TLS |
| Servidor JA4 | JA4S | Resposta do servidor TLS/impressão digital da sessão |
| JA4HTTP | JA4H | Impressão digital do cliente HTTP |
| Latência JA4 | JA4L | Medição de latência cliente-servidor/distância luminosa |
| Servidor JA4Latency | JA4LS | Medição de latência de servidor para cliente/distância de luz |
| JA4X509 | JA4X | Impressão digital do certificado X509 TLS |
| JA4SSH | JA4SSH | Impressão digital de tráfego SSH |
| JA4TCP | JA4T | Impressão digital do cliente TCP |
| Servidor JA4TCPS | JA4TS | Impressão digital de resposta do servidor TCP |
| JA4TCPScan | JA4TScan | Scanner de impressão digital TCP ativo |
O nome completo ou o nome abreviado podem ser usados de forma intercambiável. Métodos JA4+ adicionais estão em desenvolvimento...
Para entender como ler as impressões digitais JA4+, consulte Detalhes Técnicos
Este repositório inclui JA4+ em Python, Rust, Zeek e C, como um plugin Wireshark.
Ferramentas que suportam JA4+:
| Ferramenta/Fornecedor | Suporte JA4+ |
|---|---|
| Wireshark | JA4+ |
| Zeek | JA4+ |
| Arkime | JA4+ |
| Suricata | JA4 |
| Ruído Cinzento | JA4+ (tem que pedir) |
| Caçar | JA4+ |
| Rede de deriva | JA4X |
| Vela Negra | JA4+ |
| GoLang | JA4X |
| enzima | JA4+ (em desenvolvimento) |
| CapLoader da Netresec | JA4+ (em desenvolvimento) |
| NetworkMiner da Netresec | JA4+ (em desenvolvimento) |
| NGINX | JA4+ (em desenvolvimento) |
| F5 BIG-IP | JA4+ |
| nfdump | JA4+ |
| ntop's ntopng | JA4+ |
| nDPI do ntop | JA4 |
| Equipe Cymru | JA4+ (tem que pedir) |
| NetQuest | JA4+ |
| Censys | JA4+ |
| Netryx da Exploit.org | JA4 e JA4H |
| nuvemflare | JA4 |
| Rapidamente | JA4 |
| MISP | JA4+ |
| OCSF | JA4+ |
| Vercel | JA4 |
| Seika | JA4+ |
| VirusTotal | JA4 |
| AWS | JA4 |
com mais a ser anunciado...
| Aplicativo | JA4+ Impressões Digitais |
|---|---|
| Cromo | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (chave pré-compartilhada)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (sem chave) |
| Conta-gotas de malware IcedID | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| Malware IcedID | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| Fractius de malware | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| Golpe de Cobalto | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| VPN SoftEther | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (cliente)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| Qakbot | JA4X=2bab15409345_af684594efb4_000000000000 |
| Pikabot | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| Portão Negro | JA4H=po10nn060000_cdb958d032b0 |
| LummaC2 | JA4H=po11nn050000_d253db9d024b |
| Evilginx | JA4=t13d191000_9dc949149365_e7c285222651 |
| Shell SSH reverso | JA4SSH=c76s76_c71s59_c0s70 |
| Janelas 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| Impressora Epson | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
Para obter mais exemplos, consulte ja4plus-mapping.csv
Para um banco de dados completo, consulte ja4db.com
Wireshark
Zeek
Arkime
Recomendado ter o tshark versão 4.0.6 ou posterior para funcionalidade completa. Veja: https://pkgs.org/search/?q=tshark
Baixe os binários JA4 mais recentes em: Releases.
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
O banco de dados oficial JA4+ de impressões digitais, aplicativos associados e lógica de detecção recomendada está aqui: ja4db.com
Este banco de dados está em desenvolvimento muito ativo. Espere mais combinações de impressões digitais e dados em ordens de magnitude nos próximos meses (agosto de 2024).
Um exemplo de ja4plus-mapping.csv também está disponível para referência rápida.
JA4+ é um conjunto de impressões digitais de rede simples, mas poderosas, para vários protocolos que são legíveis por humanos e máquinas, facilitando uma melhor caça a ameaças e análise de segurança. Se você não está familiarizado com impressão digital de rede, recomendo que você leia meus blogs lançando JA3 aqui, JARM aqui e este excelente blog da Fastly sobre o estado da impressão digital TLS, que descreve a história dos mencionados acima, juntamente com seus problemas. JA4+ traz suporte dedicado, mantendo os métodos atualizados conforme a indústria muda.
Todas as impressões digitais JA4+ possuem formato a_b_c, delimitando as diferentes seções que compõem a impressão digital. Isso permite caça e detecção utilizando apenas ab ou ac ou c. Se alguém quisesse apenas fazer uma análise dos cookies recebidos em seu aplicativo, olharia apenas para JA4H_c. Este novo formato de preservação de localidade facilita análises mais profundas e ricas, ao mesmo tempo que permanece simples, fácil de usar e permite extensibilidade.
Por exemplo; GreyNoise é um ouvinte de internet que identifica scanners de internet e está implementando JA4+ em seu produto. Eles têm um ator que varre a Internet com uma única cifra TLS em constante mudança. Isto gera uma enorme quantidade de impressões digitais JA3 completamente diferentes, mas com JA4, apenas a parte b da impressão digital JA4 muda, as partes a e c permanecem as mesmas. Como tal, GreyNoise pode rastrear o ator observando a impressão digital JA4_ac (juntando a+c, eliminando b).
Métodos atuais e detalhes de implementação:
| Nome completo | Nome curto | Descrição |
|---|---|---|
| JA4 | JA4 | Impressão digital do cliente TLS |
| Servidor JA4 | JA4S | Resposta do servidor TLS/impressão digital da sessão |
| JA4HTTP | JA4H | Impressão digital do cliente HTTP |
| Latência JA4 | JA4L | Medição de latência cliente-servidor/distância luminosa |
| Servidor JA4Latency | JA4LS | Medição de latência de servidor para cliente/distância de luz |
| JA4X509 | JA4X | Impressão digital do certificado X509 TLS |
| JA4SSH | JA4SSH | Impressão digital de tráfego SSH |
| JA4TCP | JA4T | Impressão digital do cliente TCP |
| Servidor JA4TCPS | JA4TS | Impressão digital de resposta do servidor TCP |
| JA4TCPScan | JA4TScan | Scanner de impressão digital TCP ativo |
O nome completo ou o nome abreviado podem ser usados de forma intercambiável. Métodos JA4+ adicionais estão em desenvolvimento...
Para entender como ler as impressões digitais JA4+, consulte Detalhes Técnicos
JA4: TLS Client Fingerprinting é de código aberto, BSD 3-Clause, igual ao JA3. A FoxIO não possui reivindicações de patente e não planeja buscar cobertura de patente para impressão digital de cliente JA4 TLS. Isso permite que qualquer empresa ou ferramenta que atualmente utilize o JA3 atualize imediatamente para o JA4 sem demora.
JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan e todas as adições futuras (coletivamente referidas como JA4+) são licenciadas sob a Licença FoxIO 1.1. Esta licença é permissiva para a maioria dos casos de uso, inclusive para fins acadêmicos e comerciais internos, mas não é permissiva para monetização. Se, por exemplo, uma empresa quiser usar o JA4+ internamente para ajudar a proteger a sua própria empresa, isso é permitido. Se, por exemplo, um fornecedor quiser vender impressões digitais JA4+ como parte de sua oferta de produtos, ele precisará solicitar-nos uma licença OEM.
Todos os métodos JA4+ estão com patente pendente.
JA4+ é uma marca registrada da FoxIO
JA4+ pode e está sendo implementado em ferramentas de código aberto, consulte as Perguntas Frequentes sobre Licenças para obter detalhes.
Este licenciamento nos permite fornecer o JA4+ ao mundo de uma forma aberta e imediatamente utilizável, mas também nos fornece uma forma de financiar suporte contínuo, pesquisa de novos métodos e o desenvolvimento do banco de dados JA4+. Queremos que todos possam utilizar o JA4+ e estamos felizes em trabalhar com fornecedores e projetos de código aberto para ajudar a fazer isso acontecer.
P: Por que você está classificando as cifras? A ordem não importa?
R: Sim, mas em nossa pesquisa descobrimos que aplicativos e bibliotecas escolhem mais uma lista de cifras exclusiva do que uma ordem exclusiva. Isso também reduz a eficácia do “atrofiamento de cifras”, uma tática de randomização da ordenação de cifras para evitar a detecção de JA3.
P: Por que você está classificando as extensões?
R: No início de 2023, o Google atualizou os navegadores Chromium para randomizar a ordem das extensões. Assim como o atrofiamento da cifra, essa era uma tática para impedir a detecção de JA3 e “tornar o ecossistema TLS mais robusto às mudanças”. O Google estava preocupado que os implementadores de servidores presumissem que a impressão digital do Chrome nunca mudaria e acabariam criando uma lógica em torno dela, o que causaria problemas sempre que o Google atualizasse o Chrome.
Portanto, quero deixar isso claro: as impressões digitais do JA4 mudarão à medida que as bibliotecas TLS do aplicativo forem atualizadas, cerca de uma vez por ano. Não presuma que as impressões digitais permanecerão constantes em um ambiente onde os aplicativos são atualizados. Em qualquer caso, a classificação das extensões contorna isso e a adição de algoritmos de assinatura preserva a exclusividade.
P: O TLS 1.3 não dificulta a impressão digital de clientes TLS?
R: Não, fica mais fácil! Desde o TLS 1.3, os clientes têm um conjunto muito maior de extensões e, embora o TLS1.3 suporte apenas algumas cifras, os navegadores e aplicativos ainda suportam muito mais.
John Althouse, com feedback de:
Josh Atkins
Jeff Atkinson
Josué Alexandre
C.
Joe Martins
Ben Higgins
André Morris
Chris Ueland
Ben Schofield
Matias Vallentin
Valeriy Vorotyntsev
Timóteo Noel
Gary Lipsky
E engenheiros trabalhando na GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet e outros.
Entre em contato com John Althouse em [email protected] para licenciamento e perguntas.
Direitos autorais (c) 2024, FoxIO
