การพิมพ์ลายนิ้วมือเครือข่าย JA4+

JA4+ คือชุดวิธีการพิมพ์ลายนิ้วมือเครือข่ายที่ใช้งานง่ายและแบ่งปันได้ง่าย วิธีการเหล่านี้สามารถอ่านได้ทั้งของมนุษย์และเครื่องจักร เพื่ออำนวยความสะดวกในการตามล่าและวิเคราะห์ภัยคุกคามที่มีประสิทธิภาพมากขึ้น กรณีการใช้งานสำหรับลายนิ้วมือเหล่านี้ ได้แก่ การสแกนหาผู้คุกคาม การตรวจจับมัลแวร์ การป้องกันการไฮแจ็กเซสชัน การปฏิบัติตามอัตโนมัติ การติดตามตำแหน่ง การตรวจจับ DDoS การจัดกลุ่มผู้ก่อภัยคุกคาม การตรวจจับเชลล์แบบย้อนกลับ และอื่นๆ อีกมากมาย

โปรดอ่านบล็อกของเราเพื่อดูรายละเอียดเกี่ยวกับวิธีการทำงานของ JA4+ เหตุใดจึงทำงาน และตัวอย่างสิ่งที่สามารถตรวจพบ/ป้องกันได้:
การพิมพ์ลายนิ้วมือเครือข่าย JA4+ (JA4/S/H/L/X/SSH)
JA4T: การพิมพ์ลายนิ้วมือ TCP (JA4T/TS/TScan)
การตรวจสอบ Surfshark และ NordVPN ด้วย JA4T (JA4T)

วิธีการปัจจุบันและรายละเอียดการดำเนินการ:

ชื่อเต็ม	ชื่อสั้น	คำอธิบาย
เจ4	เจ4	การพิมพ์ลายนิ้วมือไคลเอนต์ TLS
JA4เซิร์ฟเวอร์	JA4S	การตอบสนองของเซิร์ฟเวอร์ TLS / การพิมพ์ลายนิ้วมือของเซสชัน
JA4HTTP	JA4H	ลายนิ้วมือไคลเอ็นต์ HTTP
JA4เวลาในการตอบสนอง	JA4L	การวัดเวลาแฝงของไคลเอนต์ถึงเซิร์ฟเวอร์ / ระยะทางแสง
JA4Latencyเซิร์ฟเวอร์	JA4LS	การวัดเวลาแฝงของเซิร์ฟเวอร์ถึงไคลเอนต์ / ระยะทางแสง
JA4X509	JA4X	การพิมพ์ลายนิ้วมือใบรับรอง X509 TLS
JA4SSH	JA4SSH	ลายนิ้วมือจราจร SSH
JA4TCP	JA4T	การพิมพ์ลายนิ้วมือไคลเอนต์ TCP
JA4TCPเซิร์ฟเวอร์	JA4TS	ลายนิ้วมือตอบสนองเซิร์ฟเวอร์ TCP
JA4TCPScan	JA4TScan	เครื่องสแกนลายนิ้วมือ TCP ที่ใช้งานอยู่

ชื่อเต็มหรือชื่อสั้นสามารถใช้แทนกันได้ วิธีการเพิ่มเติมของ JA4+ อยู่ในระหว่างดำเนินการ...

หากต้องการทำความเข้าใจวิธีการอ่านลายนิ้วมือ JA4+ โปรดดูรายละเอียดทางเทคนิค

repo นี้รวม JA4+ ใน Python, Rust, Zeek และ C ไว้เป็นปลั๊กอิน Wireshark

เครื่องมือที่รองรับ JA4+:

เครื่องมือ/ผู้ขาย	รองรับ JA4+
ไวร์ชาร์ก	JA4+
ซีค	JA4+
อาร์คิเมะ	JA4+
ซูริกาตา	เจ4
เกรย์นอยส์	JA4+ (ต้องขอนะ)
ล่า	JA4+
ดริฟท์เน็ต	JA4X
ดาร์กเซล	JA4+
โกแลง	JA4X
เอนไซม์	JA4+ (อยู่ระหว่างการพัฒนา)
CapLoader ของ Netresec	JA4+ (อยู่ระหว่างการพัฒนา)
NetworkMiner ของ Netresec	JA4+ (อยู่ระหว่างการพัฒนา)
NGINX	JA4+ (อยู่ระหว่างการพัฒนา)
F5 บิ๊ก-ไอพี	JA4+
nfdump	JA4+
ntop ของ ntopng	JA4+
nDPI ของ ntop	เจ4
ทีมซิมรู	JA4+ (ต้องขอนะ)
เน็ตเควสท์	JA4+
เซ็นซิส	JA4+
Netryx ของ Exploit.org	JA4 และ JA4H
คลาวด์แฟลร์	เจ4
อย่างรวดเร็ว	เจ4
มิสพี	JA4+
สอศ	JA4+
เวอร์เซล	เจ4
เซก้า	JA4+
ไวรัสรวม	เจ4
AWS	เจ4

และอีกมากมายที่จะประกาศ...

ตัวอย่าง

แอปพลิเคชัน	ลายนิ้วมือ JA4+
โครเมียม	`JA4=t13d1516h2_8daaf6152771_02713d6af862` (TCP) `JA4=q13d0312h3_55b375c5d22e_06cda9e17597` (ด่วน) `JA4=t13d1517h2_8daaf6152771_b0da82dd1658` (คีย์ที่แชร์ล่วงหน้า) `JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f` (ไม่มีกุญแจ)
IcedID มัลแวร์ Dropper	`JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982`
มัลแวร์ IcedID	`JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8` `JA4S=t120300_c030_5e2616a54c73`
มัลแวร์เศษไม้	`JA4=t13d190900_9dc949149365_97f8aa674fd9` `JA4S=t130200_1301_a56c5b993250` `JA4X=000000000000_4f24da86fad6_bf0f0589fc03` `JA4X=000000000000_7c32fa18c13e_bf0f0589fc03`
โคบอลต์สไตรค์	`JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbd` `JA4X=2166164053c1_2166164053c1_30d204a01551`
ซอฟท์อีเธอร์ VPN	`JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14` (ไคลเอนต์) `JA4S=t130200_1302_a56c5b993250` `JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae`
กักบอต	`JA4X=2bab15409345_af684594efb4_000000000000`
ปิกาบอท	`JA4X=1a59268f55e5_1a59268f55e5_795797892f9c`
ดาร์กเกต	`JA4H=po10nn060000_cdb958d032b0`
ลุมมาซี2	`JA4H=po11nn050000_d253db9d024b`
Evilginx	`JA4=t13d191000_9dc949149365_e7c285222651`
ย้อนกลับเชลล์ SSH	`JA4SSH=c76s76_c71s59_c0s70`
วินโดวส์ 10	`JA4T=64240_2-1-3-1-1-4_1460_8`
เครื่องพิมพ์เอปสัน	`JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16`

สำหรับตัวอย่างเพิ่มเติม โปรดดูที่ ja4plus-mapping.csv
สำหรับฐานข้อมูลที่สมบูรณ์ โปรดดูที่ ja4db.com

ปลั๊กอิน

ไวร์ชาร์ก
ซีค
อาร์คิเมะ

ไบนารี

แนะนำให้ใช้ tshark เวอร์ชัน 4.0.6 ขึ้นไปเพื่อการใช้งานเต็มรูปแบบ ดู: https://pkgs.org/search/?q=tshark

ดาวน์โหลดไบนารี JA4 ล่าสุดจาก: Releases

JA4+ บนอูบุนตู

 sudo apt install tshark
./ja4 [options] [pcap]

JA4+ บน Mac

ติดตั้ง Wireshark https://www.wireshark.org/download.html ซึ่งจะติดตั้ง tshark
เพิ่ม tshark ไปที่ $PATH

 ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]

JA4+ บนวินโดวส์

ติดตั้ง Wireshark สำหรับ Windows จาก https://www.wireshark.org/download.html ซึ่งจะติดตั้ง tshark.exe
tshark.exe อยู่ที่ตำแหน่งที่ติดตั้ง wireshark เช่น C:Program FilesWiresharkthsark.exe
เพิ่มตำแหน่งของ tshark ให้กับตัวแปรสภาพแวดล้อม "PATH" ของคุณใน Windows
(คุณสมบัติของระบบ > ตัวแปรสภาพแวดล้อม... > แก้ไขพาธ)
เปิด cmd นำทางไปยังโฟลเดอร์ ja4

 ja4 [options] [pcap]

ฐานข้อมูล

ฐานข้อมูลลายนิ้วมืออย่างเป็นทางการของ JA4+ แอปพลิเคชันที่เกี่ยวข้อง และตรรกะการตรวจจับที่แนะนำอยู่ที่นี่: ja4db.com
ฐานข้อมูลนี้อยู่ระหว่างการพัฒนาอย่างกระตือรือร้น คาดว่าจะมีคำสั่งซื้อชุดลายนิ้วมือและข้อมูลเพิ่มมากขึ้นในอีกไม่กี่เดือนข้างหน้า (ส.ค. 2024)

นอกจากนี้ ยังมีตัวอย่าง ja4plus-mapping.csv สำหรับการอ้างอิงอย่างรวดเร็วอีกด้วย

รายละเอียด JA4+

JA4+ คือชุดลายนิ้วมือเครือข่ายที่เรียบง่ายแต่ทรงพลังสำหรับหลายโปรโตคอลที่ทั้งมนุษย์และเครื่องอ่านได้ ช่วยอำนวยความสะดวกในการค้นหาภัยคุกคามและการวิเคราะห์ความปลอดภัยที่ได้รับการปรับปรุง หากคุณไม่คุ้นเคยกับ Networkลายนิ้วมือ ฉันขอแนะนำให้คุณอ่านบล็อกของฉันที่เผยแพร่ JA3 ที่นี่ JARM ที่นี่ และบล็อกที่ยอดเยี่ยมนี้โดย Fastly on the State of TLSลายนิ้วมือ ซึ่งสรุปประวัติของสิ่งที่กล่าวมาข้างต้นพร้อมกับปัญหาของพวกเขา JA4+ ให้การสนับสนุนโดยเฉพาะ คอยรักษาวิธีการให้ทันสมัยอยู่เสมอตามการเปลี่ยนแปลงของอุตสาหกรรม

ลายนิ้วมือ JA4+ ทั้งหมดมีรูปแบบ a_b_c โดยคั่นส่วนต่างๆ ที่ประกอบกันเป็นลายนิ้วมือ ช่วยให้สามารถล่าสัตว์และตรวจจับโดยใช้เพียง ab หรือ ac หรือ c เท่านั้น หากต้องการเพียงวิเคราะห์คุกกี้ขาเข้าในแอปของตน พวกเขาจะดูที่ JA4H_c เท่านั้น รูปแบบการรักษาพื้นที่ใหม่นี้อำนวยความสะดวกในการวิเคราะห์เชิงลึกและสมบูรณ์ยิ่งขึ้น ในขณะที่ยังคงความเรียบง่าย ใช้งานง่าย และช่วยให้สามารถขยายได้

ตัวอย่างเช่น; GreyNoise เป็นผู้ฟังทางอินเทอร์เน็ตที่ระบุเครื่องสแกนอินเทอร์เน็ตและกำลังนำ JA4+ ไปใช้กับผลิตภัณฑ์ของตน พวกเขามีนักแสดงที่สแกนอินเทอร์เน็ตด้วยรหัส TLS ตัวเดียวที่เปลี่ยนแปลงอยู่ตลอดเวลา สิ่งนี้จะสร้างลายนิ้วมือ JA3 ที่แตกต่างกันโดยสิ้นเชิงจำนวนมาก แต่สำหรับ JA4 มีเพียงส่วน b ของลายนิ้วมือ JA4 เท่านั้นที่เปลี่ยนแปลง ส่วน a และ c ยังคงเหมือนเดิม ด้วยเหตุนี้ GreyNoise จึงสามารถติดตามนักแสดงได้โดยดูที่ลายนิ้วมือ JA4_ac (เข้าร่วม a+c และปล่อย b)

วิธีการปัจจุบันและรายละเอียดการดำเนินการ:

ชื่อเต็ม	ชื่อสั้น	คำอธิบาย
เจ4	เจ4	การพิมพ์ลายนิ้วมือไคลเอนต์ TLS
JA4เซิร์ฟเวอร์	JA4S	การตอบสนองของเซิร์ฟเวอร์ TLS / การพิมพ์ลายนิ้วมือของเซสชัน
JA4HTTP	JA4H	ลายนิ้วมือไคลเอ็นต์ HTTP
JA4เวลาในการตอบสนอง	JA4L	การวัดเวลาแฝงของไคลเอนต์ถึงเซิร์ฟเวอร์ / ระยะทางแสง
JA4Latencyเซิร์ฟเวอร์	JA4LS	การวัดเวลาแฝงของเซิร์ฟเวอร์ถึงไคลเอนต์ / ระยะทางแสง
JA4X509	JA4X	การพิมพ์ลายนิ้วมือใบรับรอง X509 TLS
JA4SSH	JA4SSH	ลายนิ้วมือจราจร SSH
JA4TCP	JA4T	การพิมพ์ลายนิ้วมือไคลเอนต์ TCP
JA4TCPเซิร์ฟเวอร์	JA4TS	ลายนิ้วมือตอบสนองเซิร์ฟเวอร์ TCP
JA4TCPScan	JA4TScan	เครื่องสแกนลายนิ้วมือ TCP ที่ใช้งานอยู่

ชื่อเต็มหรือชื่อสั้นสามารถใช้แทนกันได้ วิธีการเพิ่มเติมของ JA4+ อยู่ในระหว่างดำเนินการ...

หากต้องการทำความเข้าใจวิธีการอ่านลายนิ้วมือ JA4+ โปรดดูรายละเอียดทางเทคนิค

การออกใบอนุญาต

JA4: ลายนิ้วมือไคลเอนต์ TLS เป็นโอเพ่นซอร์ส BSD 3-Clause เช่นเดียวกับ JA3 FoxIO ไม่มีการอ้างสิทธิ์ในสิทธิบัตร และไม่ได้วางแผนที่จะดำเนินการคุ้มครองสิทธิบัตรสำหรับ JA4 TLS Client Stampinging ซึ่งช่วยให้บริษัทหรือเครื่องมือใดๆ ที่ใช้ JA3 ในปัจจุบันสามารถอัปเกรดเป็น JA4 ได้ทันทีโดยไม่ชักช้า

JA4S, JA4L, JA4LS, JA4H, JA4X, JA4SSH, JA4T, JA4TS, JA4TScan และการเพิ่มเติมในอนาคตทั้งหมด (เรียกรวมกันว่า JA4+) ได้รับอนุญาตภายใต้ FoxIO License 1.1 ใบอนุญาตนี้ได้รับอนุญาตสำหรับกรณีการใช้งานส่วนใหญ่ รวมถึงเพื่อวัตถุประสงค์ทางวิชาการและธุรกิจภายใน แต่ไม่อนุญาตสำหรับการสร้างรายได้ ตัวอย่างเช่น หากบริษัทต้องการใช้ JA4+ ภายในเพื่อช่วยรักษาความปลอดภัยให้กับบริษัทของตนเอง ก็ถือว่าได้รับอนุญาต ตัวอย่างเช่น หากผู้ขายต้องการขายลายนิ้วมือ JA4+ โดยเป็นส่วนหนึ่งของการนำเสนอผลิตภัณฑ์ พวกเขาจะต้องขอใบอนุญาต OEM จากเรา

วิธีการของ JA4+ ทั้งหมดอยู่ระหว่างการจดสิทธิบัตร
JA4+ เป็นเครื่องหมายการค้าของ FoxIO

JA4+ สามารถและกำลังถูกนำไปใช้กับเครื่องมือโอเพ่นซอร์ส โปรดดูรายละเอียดที่คำถามที่พบบ่อยเกี่ยวกับใบอนุญาต

ใบอนุญาตนี้ช่วยให้เราสามารถมอบ JA4+ ให้กับโลกในลักษณะที่เปิดกว้างและใช้งานได้ทันที แต่ยังช่วยให้เรามีช่องทางในการให้ทุนสนับสนุนอย่างต่อเนื่อง การวิจัยเกี่ยวกับวิธีการใหม่ๆ และการพัฒนาฐานข้อมูล JA4+ เราต้องการให้ทุกคนมีความสามารถในการใช้งาน JA4+ และยินดีที่จะทำงานร่วมกับผู้จำหน่ายและโครงการโอเพ่นซอร์สเพื่อช่วยให้สิ่งนั้นเกิดขึ้น

ถามตอบ

ถาม: ทำไมคุณถึงเรียงลำดับยันต์? การสั่งซื้อไม่สำคัญเหรอ?
ตอบ: เป็นเช่นนั้น แต่ในการวิจัยของเรา เราพบว่าแอปพลิเคชันและไลบรารีเลือกรายการรหัสที่ไม่ซ้ำกันมากกว่าการเรียงลำดับที่ไม่ซ้ำกัน นอกจากนี้ยังลดประสิทธิภาพของ "การสตันการเข้ารหัส" ซึ่งเป็นกลยุทธ์ในการสุ่มลำดับการเข้ารหัสเพื่อป้องกันการตรวจจับ JA3

ถาม: เหตุใดคุณจึงจัดเรียงส่วนขยาย
ตอบ: ในช่วงต้นปี 2023 Google ได้อัปเดตเบราว์เซอร์ Chromium เพื่อสุ่มลำดับส่วนขยาย เช่นเดียวกับการเข้ารหัสลับ นี่เป็นกลยุทธ์ในการป้องกันการตรวจจับ JA3 และ “ทำให้ระบบนิเวศ TLS แข็งแกร่งต่อการเปลี่ยนแปลงมากขึ้น” Google กังวลว่าผู้ใช้เซิร์ฟเวอร์จะถือว่าลายนิ้วมือของ Chrome จะไม่เปลี่ยนแปลงและจบลงด้วยการสร้างตรรกะรอบ ๆ ซึ่งจะทำให้เกิดปัญหาเมื่อใดก็ตามที่ Google ไปอัปเดต Chrome

ดังนั้นฉันต้องการทำให้ชัดเจน: ลายนิ้วมือ JA4 จะเปลี่ยนไปเมื่อมีการอัปเดตไลบรารี TLS ของแอปพลิเคชันประมาณปีละครั้ง อย่าถือว่าลายนิ้วมือจะคงที่ในสภาพแวดล้อมที่มีการอัพเดตแอปพลิเคชัน ไม่ว่าในกรณีใด การเรียงลำดับส่วนขยายจะหลีกเลี่ยงสิ่งนี้และการเพิ่มอัลกอริทึมลายเซ็นจะรักษาเอกลักษณ์ไว้

ถาม: TLS 1.3 ไม่ทำให้การพิมพ์ลายนิ้วมือไคลเอ็นต์ TLS ยากขึ้นใช่หรือไม่
ตอบ: ไม่ มันทำให้ง่ายขึ้น! ตั้งแต่ TLS 1.3 ไคลเอนต์มีชุดส่วนขยายที่ใหญ่กว่ามากและแม้ว่า TLS1.3 จะรองรับการเข้ารหัสเพียงไม่กี่ตัว แต่เบราว์เซอร์และแอปพลิเคชันยังคงรองรับส่วนขยายอีกมากมาย

JA4+ ถูกสร้างขึ้นโดย:

John Althouse พร้อมคำติชมจาก:

จอช แอตกินส์
เจฟฟ์ แอตกินสัน
โจชัว อเล็กซานเดอร์
ว.
โจ มาร์ติน
เบน ฮิกกินส์
แอนดรูว์ มอร์ริส
คริส ยูแลนด์
เบน สโชฟิลด์
แมทเธียส วัลเลนติน
วาเลรี โวโรตินเซฟ
ทิโมธี โนเอล
แกรี่ ลิปสกี้
และวิศวกรที่ทำงานที่ GreyNoise, Hunt, Google, ExtraHop, F5, Driftnet และอื่นๆ

ติดต่อ John Althouse ที่ [email protected] เพื่อขอใบอนุญาตและคำถาม

ขยาย

ข้อมูลเพิ่มเติม