JA4+是一套易於使用且易於分享的網路指紋辨識方法。這些方法都是人類和機器可讀的,以促進更有效的威脅搜尋和分析。這些指紋的用例包括掃描威脅行為者、惡意軟體偵測、會話劫持預防、合規性自動化、位置追蹤、DDoS 偵測、威脅行為者分組、反向 shell 偵測等等。
請閱讀我們的博客,詳細了解 JA4+ 的工作原理、工作原因以及可檢測/預防的範例:
JA4+網路指紋辨識(JA4/S/H/L/X/SSH)
JA4T:TCP 指紋辨識 (JA4T/TS/TScan)
使用 JA4T 調查 Surfshark 和 NordVPN (JA4T)
目前的方法和實施細節:
| 姓名 | 簡稱 | 描述 |
|---|---|---|
| JA4 | JA4 | TLS 用戶端指紋識別 |
| JA4伺服器 | JA4S | TLS 伺服器回應/會話指紋識別 |
| JA4HTTP | JA4H | HTTP 用戶端指紋識別 |
| JA4延遲 | JA4L | 客戶端到伺服器延遲測量/光距離 |
| JA4延遲伺服器 | JA4LS | 伺服器到客戶端延遲測量/光距離 |
| JA4X509 | JA4X | X509 TLS 憑證指紋 |
| JA4SSH | JA4SSH | SSH 流量指紋識別 |
| JA4TCP | JA4T | TCP 用戶端指紋識別 |
| JA4TCP伺服器 | JA4TS | TCP 伺服器回應指紋 |
| JA4TCP掃描 | JA4T掃描 | 主動 TCP 指紋掃描儀 |
全名或簡稱可以互換使用。其他 JA4+ 方法正在開發中...
要了解如何讀取 JA4+ 指紋,請參閱技術詳細信息
此儲存庫包含 Python、Rust、Zeek 和 C 中的 JA4+,作為 Wireshark 外掛程式。
支持JA4+的工具:
| 工具/供應商 | JA4+ 支持 |
|---|---|
| Wireshark | JA4+ |
| 澤克 | JA4+ |
| 阿基梅 | JA4+ |
| 蘇利卡塔 | JA4 |
| 灰噪音 | JA4+(你必須要求) |
| 打獵 | JA4+ |
| 漂流網 | JA4X |
| 暗帆 | JA4+ |
| Go語言 | JA4X |
| 酵素 | JA4+(開發中) |
| Netresec 的 CapLoader | JA4+(開發中) |
| Netresec 的 NetworkMiner | JA4+(開發中) |
| NGINX | JA4+(開發中) |
| F5 大IP | JA4+ |
| 轉儲文件 | JA4+ |
| ntop 的 ntopng | JA4+ |
| ntop 的 nDPI | JA4 |
| 西姆魯隊 | JA4+(你必須要求) |
| 網路探索 | JA4+ |
| 森西斯 | JA4+ |
| Exploit.org 的 Netryx | JA4 和 JA4H |
| 雲耀 | JA4 |
| 快速 | JA4 |
| 微服務提供者 | JA4+ |
| OCSF | JA4+ |
| 韋爾塞爾 | JA4 |
| 清華 | JA4+ |
| 病毒總數 | JA4 |
| AWS | JA4 |
還有更多內容即將公佈...
| 應用 | JA4+指紋 |
|---|---|
| 鉻合金 | JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP)JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC)JA4=t13d1517h2_8daaf6152771_b0da82dd1658 (預先共用金鑰)JA4=t13d1517h2_8daaf6152771_b1ff8ab2d16f (無密鑰) |
| IcedID 惡意軟體滴管 | JA4H=ge11cn020000_9ed1ff1f7b03_cd8dafe26982 |
| IcedID 惡意軟體 | JA4=t13d201100_2b729b4bf6f3_9e7b989ebec8JA4S=t120300_c030_5e2616a54c73 |
| 銀色惡意軟體 | JA4=t13d190900_9dc949149365_97f8aa674fd9JA4S=t130200_1301_a56c5b993250JA4X=000000000000_4f24da86fad6_bf0f0589fc03JA4X=000000000000_7c32fa18c13e_bf0f0589fc03 |
| 鈷擊 | JA4H=ge11cn060000_4e59edc1297a_4da5efaf0cbdJA4X=2166164053c1_2166164053c1_30d204a01551 |
| SoftEther VPN | JA4=t13d880900_fcb5b95cb75a_b0d3b4ac2a14 (客戶端)JA4S=t130200_1302_a56c5b993250JA4X=d55f458d5a6c_d55f458d5a6c_0fc8c171b6ae |
| 夸克博特 | JA4X=2bab15409345_af684594efb4_000000000000 |
| 皮卡機器人 | JA4X=1a59268f55e5_1a59268f55e5_795797892f9c |
| 暗門 | JA4H=po10nn060000_cdb958d032b0 |
| 魯瑪C2 | JA4H=po11nn050000_d253db9d024b |
| 邪惡之星 | JA4=t13d191000_9dc949149365_e7c285222651 |
| 反向 SSH Shell | JA4SSH=c76s76_c71s59_c0s70 |
| Windows 10 | JA4T=64240_2-1-3-1-1-4_1460_8 |
| 愛普生印表機 | JA4TScan=28960_2-4-8-1-3_1460_3_1-4-8-16 |
有關更多範例,請參閱 ja4plus-mapping.csv
有關完整的資料庫,請參閱 ja4db.com
Wireshark
澤克
阿基梅
建議使用 tshark 版本 4.0.6 或更高版本以獲得完整功能。請參閱:https://pkgs.org/search/?q=tshark
從以下位置下載最新的 JA4 二進位檔案:發行版。
sudo apt install tshark
./ja4 [options] [pcap]
ln -s /Applications/Wireshark.app/Contents/MacOS/tshark /usr/local/bin/tshark
./ja4 [options] [pcap]
ja4 [options] [pcap]
官方的 JA4+ 指紋資料庫、相關應用程式和推薦的檢測邏輯在這裡:ja4db.com
該資料庫正在積極開發中。預計未來幾個月(2024 年 8 月)指紋組合和數據將增加幾個數量級。
也提供了 ja4plus-mapping.csv 範例以供快速參考。
JA4+ 是一組簡單但強大的網路指紋,適用於人類和機器可讀的多種協議,有助於改善威脅搜尋和安全分析。如果您不熟悉網絡指紋識別,我鼓勵您閱讀我的博客,在此處發布JA3,在此處發布JARM,以及Fastly 撰寫的關於TLS 指紋識別狀態的優秀博客,其中概述了上述內容的歷史及其問題。 JA4+ 提供專門的支持,使方法隨著行業的變化而保持最新。
所有 JA4+ 指紋都具有 a_b_c 格式,用於分隔構成指紋的不同部分。這允許僅利用 ab 或 ac 或 c 進行搜尋和檢測。如果人們只想分析傳入應用程式的 cookie,他們只會查看 JA4H_c。這種新的局部性保留格式有助於進行更深入、更豐富的分析,同時保持簡單、易於使用並允許擴展。
例如; GreyNoise 是一個網路偵聽器,可識別網際網路掃描器並正在其產品中實施 JA4+。他們有一個演員用不斷變化的單一 TLS 密碼掃描網路。這會產生大量完全不同的 JA3 指紋,但對於 JA4,只有 JA4 指紋的 b 部分發生變化,a 和 c 部分保持不變。因此,GreyNoise 可以透過查看 JA4_ac 指紋(加入 a+c,刪除 b)來追蹤參與者。
目前的方法和實施細節:
| 姓名 | 簡稱 | 描述 |
|---|---|---|
| JA4 | JA4 | TLS 用戶端指紋識別 |
| JA4伺服器 | JA4S | TLS 伺服器回應/會話指紋識別 |
| JA4HTTP | JA4H | HTTP 用戶端指紋識別 |
| JA4延遲 | JA4L | 客戶端到伺服器延遲測量/光距離 |
| JA4延遲伺服器 | JA4LS | 伺服器到客戶端延遲測量/光距離 |
| JA4X509 | JA4X | X509 TLS 憑證指紋 |
| JA4SSH | JA4SSH | SSH 流量指紋識別 |
| JA4TCP | JA4T | TCP 用戶端指紋識別 |
| JA4TCP伺服器 | JA4TS | TCP 伺服器回應指紋 |
| JA4TCP掃描 | JA4T掃描 | 主動 TCP 指紋掃描儀 |
全名或簡稱可以互換使用。其他 JA4+ 方法正在開發中...
要了解如何讀取 JA4+ 指紋,請參閱技術詳細信息
JA4:TLS 客戶端指紋是開源的,BSD 3-Clause,與 JA3 相同。 FoxIO 沒有專利聲明,也不打算為 JA4 TLS 用戶端指紋尋求專利保護。這使得目前使用 JA3 的任何公司或工具可以立即升級到 JA4,無需延遲。
JA4S、JA4L、JA4LS、JA4H、JA4X、JA4SSH、JA4T、JA4TS、JA4TScan 以及所有未來的新增內容(統稱為 JA4+)均根據 FoxIO 許可證 1.1 獲得許可。該許可證適用於大多數用例,包括學術和內部業務目的,但不允許貨幣化。例如,如果一家公司希望在內部使用 JA4+ 來幫助保護自己公司的安全,這是允許的。例如,如果供應商希望將 JA4+ 指紋識別作為其產品的一部分進行銷售,他們將需要向我們要求 OEM 授權。
所有 JA4+ 方法均正在申請專利。
JA4+ 是 FoxIO 的商標
JA4+ 可以並且正在實現到開源工具中,有關詳細信息,請參閱許可證常見問題解答。
該授權使我們能夠以開放且立即可用的方式向全世界提供 JA4+,同時也為我們提供了一種資助持續支持、新方法研究和 JA4+ 資料庫開發的方式。我們希望每個人都有能力利用 JA4+,並很樂意與供應商和開源專案合作來幫助實現這一目標。
Q:為什麼要對密碼進行排序?順序不重要嗎?
答:確實如此,但在我們的研究中,我們發現應用程式和函式庫更多地選擇唯一的密碼清單而不是唯一的排序。這也降低了「密碼阻礙」的有效性,「密碼阻礙」是一種隨機化密碼排序以防止 JA3 檢測的策略。
Q:為什麼要對擴充進行排序?
答:2023 年初,Google 更新了 Chromium 瀏覽器以隨機化其擴充功能排序。就像密碼阻礙一樣,這是一種防止 JA3 檢測並「使 TLS 生態系統對變化更加穩健」的策略。谷歌擔心伺服器實施者會認為 Chrome 指紋永遠不會改變,並最終圍繞它建立邏輯,這會在Google更新 Chrome 時引發問題。
所以我想澄清這一點:JA4 指紋將隨著應用程式 TLS 庫的更新而改變,大約每年一次。不要假設指紋在應用程式更新的環境中會保持不變。無論如何,對擴展進行排序可以解決這個問題,並添加簽名演算法可以保持唯一性。
Q:TLS 1.3 是否會使 TLS 用戶端的指紋辨識變得更加困難?
答:不,這樣比較容易!自 TLS 1.3 以來,用戶端擁有了更多的擴充集,儘管 TLS1.3 僅支援少數密碼,但瀏覽器和應用程式仍然支援更多密碼。
John Althouse,回饋來自:
喬許·阿特金斯
傑夫·阿特金森
約書亞·亞歷山大
W.
喬馬丁
本·希金斯
安德魯·莫里斯
克里斯·尤蘭
本·斯科菲爾德
馬蒂亞斯·瓦倫丁
瓦列裡·沃羅廷采夫
蒂莫西·諾埃爾
加里·利普斯基
還有在 GreyNoise、Hunt、Google、ExtraHop、F5、Driftnet 等公司工作的工程師。
有關許可和問題,請透過 [email protected] 聯繫 John Althouse。
版權所有 (c) 2024,FoxIO
