ja4

JA4+ — это набор методов снятия сетевых отпечатков пальцев, которые просты в использовании и которыми легко делиться. Эти методы доступны как для человеческого, так и для машинного чтения, что способствует более эффективному поиску и анализу угроз. Сценарии использования этих отпечатков пальцев включают сканирование на наличие субъектов угроз, обнаружение вредоносных программ, предотвращение перехвата сеансов, автоматизацию соответствия требованиям, отслеживание местоположения, обнаружение DDoS, группировку субъектов угроз, обнаружение обратной оболочки и многое другое.

Пожалуйста, прочтите наши блоги, чтобы узнать подробности о том, как работает JA4+, почему он работает, а также примеры того, что можно обнаружить/предотвратить с его помощью:
Сетевой отпечаток JA4+ (JA4/S/H/L/X/SSH)
JA4T: создание отпечатков TCP (JA4T/TS/TScan)
Исследование Surfshark и NordVPN с помощью JA4T (JA4T)

Текущие методы и детали реализации:

Полное имя или краткое имя могут использоваться как взаимозаменяемые. Дополнительные методы JA4+ находятся в разработке...

Чтобы понять, как читать отпечатки пальцев JA4+, см. Технические подробности.

Этот репозиторий включает JA4+ на Python, Rust, Zeek и C в виде плагина Wireshark.

Инструменты, поддерживающие JA4+:

и еще будет объявлено...

Дополнительные примеры см. в ja4plus-mapping.csv.
Полную базу данных можно найти на сайте ja4db.com.

Вайршарк
Зик
Аркиме

Для полной функциональности рекомендуется использовать tshark версии 4.0.6 или новее. См.: https://pkgs.org/search/?q=tshark.

Загрузите последние двоичные файлы JA4 из раздела Releases.

 sudo apt install tshark
./ja4 [options] [pcap]

1. Установите Wireshark https://www.wireshark.org/download.html, который установит tshark.
2. Добавьте tshark в $PATH

 ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]

1. Установите Wireshark для Windows с https://www.wireshark.org/download.html, после чего будет установлен tshark.exe.
   tshark.exe находится в папке, где установлен Wireshark, например: C:Program FilesWiresharkthsark.exe.
2. Добавьте местоположение tshark в переменную среды «PATH» в Windows.
   (Свойства системы > Переменные среды... > Изменить путь)
3. Откройте cmd, перейдите в папку ja4.

 ja4 [options] [pcap]

Официальная база данных отпечатков пальцев JA4+, связанных приложений и рекомендуемой логики обнаружения находится здесь: ja4db.com
Эта база данных находится в стадии очень активной разработки. Ожидайте на порядки большего количества комбинаций отпечатков пальцев и данных в течение следующих нескольких месяцев (август 2024 г.).

Для быстрого ознакомления также доступен образец файла ja4plus-mapping.csv.

JA4+ — это набор простых, но мощных сетевых отпечатков пальцев для нескольких протоколов, которые читаются как человеком, так и компьютером, что облегчает поиск угроз и анализ безопасности. Если вы не знакомы с сетевыми отпечатками пальцев, я рекомендую вам прочитать мои блоги о выпуске JA3 здесь, JARM здесь, а также этот отличный блог Fastly о состоянии отпечатков пальцев TLS, в котором изложена история вышеупомянутых устройств вместе с их проблемами. JA4+ обеспечивает специальную поддержку, поддерживая актуальность методов по мере изменений в отрасли.

Все отпечатки JA4+ имеют формат a_b_c, разделяющий различные разделы, составляющие отпечаток. Это позволяет осуществлять поиск и обнаружение, используя только ab, ac или c. Если бы кто-то хотел просто проанализировать входящие файлы cookie в свое приложение, он бы смотрел только на JA4H_c. Этот новый формат, сохраняющий локальность, облегчает более глубокий и богатый анализ, оставаясь при этом простым, легким в использовании и допускающим расширяемость.

Например; GreyNoise — это интернет-прослушиватель, который идентифицирует интернет-сканеры и внедряет JA4+ в свой продукт. У них есть актер, который сканирует Интернет с помощью постоянно меняющегося единого шифра TLS. Это генерирует огромное количество совершенно разных отпечатков JA3, но с JA4 меняется только часть b отпечатка JA4, части a и c остаются прежними. Таким образом, GreyNoise может отслеживать актера, просматривая отпечаток JA4_ac (присоединяя a+c, отбрасывая b).

Текущие методы и детали реализации:

Полное имя или краткое имя могут использоваться как взаимозаменяемые. Дополнительные методы JA4+ находятся в разработке...

Чтобы понять, как читать отпечатки пальцев JA4+, см. Технические подробности.

JA4: Отпечаток клиента TLS имеет открытый исходный код, 3-пункт BSD, такой же, как JA3. FoxIO не имеет патентных претензий и не планирует подавать заявки на патентное покрытие для идентификации клиентов JA4 TLS. Это позволяет любой компании или инструменту, в настоящее время использующему JA3, немедленно и без промедления перейти на JA4.

JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan и все будущие дополнения (совместно именуемые JA4+) лицензируются по лицензии FoxIO 1.1. Эта лицензия разрешает большинство случаев использования, в том числе для академических и внутренних деловых целей, но не разрешает монетизацию. Если, например, компания хочет использовать JA4+ внутри компании, чтобы обеспечить безопасность своей компании, это разрешено. Если, например, поставщик хочет продавать отпечатки пальцев JA4+ как часть своего продукта, ему необходимо будет запросить у нас OEM-лицензию.

Все методы JA4+ запатентованы.
JA4+ является торговой маркой FoxIO.

JA4+ может быть реализован и реализуется в инструментах с открытым исходным кодом. Подробности см. в FAQ по лицензиям.

Это лицензирование позволяет нам предоставлять JA4+ всему миру открытым и удобным для немедленного использования способом, а также дает нам возможность финансировать постоянную поддержку, исследования новых методов и разработку базы данных JA4+. Мы хотим, чтобы каждый имел возможность использовать JA4+, и рады сотрудничать с поставщиками и проектами с открытым исходным кодом, чтобы помочь в этом.

Вопрос: Почему вы сортируете шифры? Порядок не имеет значения?
О: Да, но в ходе наших исследований мы обнаружили, что приложения и библиотеки выбирают уникальный список шифров, а не уникальный порядок. Это также снижает эффективность «задержки шифрования» — тактики рандомизации порядка шифрования для предотвращения обнаружения JA3.

Вопрос: Почему вы сортируете расширения?
Ответ: Ранее в 2023 году Google обновил браузеры Chromium, упорядочив расширения в случайном порядке. Подобно задержке шифрования, это была тактика, призванная предотвратить обнаружение JA3 и «сделать экосистему TLS более устойчивой к изменениям». Google беспокоился, что разработчики серверов предположат, что отпечаток Chrome никогда не изменится, и в конечном итоге выстроят вокруг него логику, что вызовет проблемы всякий раз, когда Google приступит к обновлению Chrome.

Поэтому я хочу прояснить это: отпечатки пальцев JA4 будут меняться по мере обновления библиотек TLS приложений, примерно раз в год. Не думайте, что отпечатки пальцев останутся постоянными в среде, где приложения обновляются. В любом случае, сортировка расширений позволяет обойти эту проблему, а добавление алгоритмов подписи сохраняет уникальность.

Вопрос: Не усложняет ли TLS 1.3 сбор отпечатков пальцев клиентов TLS?
О: Нет, так проще! Начиная с TLS 1.3, клиенты имели гораздо больший набор расширений, и хотя TLS1.3 поддерживает лишь несколько шифров, браузеры и приложения по-прежнему поддерживают гораздо больше.

Джон Альтхаус, с отзывами:

Джош Аткинс
Джефф Аткинсон
Джошуа Александр
В.
Джо Мартин
Бен Хиггинс
Эндрю Моррис
Крис Уеланд
Бен Шофилд
Маттиас Валлентин
Валерий Воротынцев
Тимоти Ноэль
Гэри Липски
И инженеры, работающие в GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet и других.

Свяжитесь с Джоном Альтхаусом по адресу [email protected] для получения лицензии и вопросов.

_{^{Авторские права (c) 2024, FoxIO}}