JA4+ネットワークフィンガープリンティング
JA4+は、使いやすく共有しやすいネットワークフィンガープリンティング方法のスイートです。これらの方法は人間と機械の両方が読め、より効果的な脅威ハンティングと分析を促進します。これらのフィンガープリントのユースケースには、脅威アクターのスキャン、マルウェア検出、セッションハイジャック防止、コンプライアンス自動化、位置情報追跡、DDoS検出、脅威アクターのグループ化、リバースシェル検出など、多くのものがあります。
詳細については、こちらのブログ記事を参照してください: JA4+ネットワークフィンガープリンティング
JA4+サポートは以下に追加されています:
GreyNoise
Hunt
Driftnet
Darksail
Arkime
その他多数のプラットフォームが発表される予定です…
JA4+は、複数のプロトコル用のシンプルながら強力なネットワークフィンガープリントセットで、人間と機械の両方が読め、改善された脅威ハンティングとセキュリティ分析を促進します。ネットワークフィンガープリンティングに不慣れな場合は、JA3のリリースに関する私のブログを読むことをお勧めします:こちら、JARMこちら、そしてFastlyによるこの優れたブログTLSフィンガープリンティングの状態は、上記の歴史とその問題について説明しています。JA4+は専用サポートをもたらし、業界の変化に応じて方法を最新に保ちます。
すべてのJA4+フィンガープリントはa_b_c形式を持ち、フィンガープリントを構成するさまざまなセクションを区切ります。これにより、abまたはacまたはcのみを使用したハンティングと検出が可能になります。誰かがアプリに入ってくるクッキーの分析のみを行いたい場合、JA4H_cのみを見てください。この新しい局所性を保存する形式により、シンプルで使いやすく、拡張性を保ちながら、より深くより豊かな分析が可能になります。
例えば、GreyNoiseはインターネットをリッスンして、インターネットスキャナーを識別し、JA4+を製品に実装しています。彼らは、常に変わる単一のTLS暗号でインターネットをスキャンする行為者を持っています。これにより膨大な数の完全に異なるJA3フィンガープリントが生成されていますが、JA4では、JA4フィンガープリントのbパート部分のみが変わり、パートaとcは同じままです。したがって、GreyNoiseはJA4_acフィンガープリント(a+cを結合、bを削除)を見ることで行為者を追跡できます。
現在の方法と実装の詳細:
JA4: TLSクライアントフィンガープリンティング
JA4S: TLSサーバー/セッションフィンガープリンティング
JA4H: HTTPクライアントフィンガープリンティング
JA4L: ライト距離局所性
JA4X: X509 TLS証明書フィンガープリンティング
JA4SSH: SSHトラフィックフィンガープリンティング
追加のJA4+方法が進行中です…
ダウンロード
著作権(c)2023 FoxIO
翻訳元: https://meterpreter.org/ja4-a-suite-of-network-fingerprinting-standards/
