惡意軟件隱藏在加密流量中變得越來(lái)越普遍，這使得檢測(cè)變得困難。Sophos 提到，已檢測(cè)到大約46% 的惡意軟件通過(guò) TLS 通過(guò) Internet 與遠(yuǎn)程系統(tǒng)通信。網(wǎng)絡(luò)犯罪分子正在利用這一點(diǎn)來(lái)逃避檢測(cè)并繼續(xù)進(jìn)行惡意活動(dòng)。網(wǎng)絡(luò)安全成為安全管理員面臨的挑戰(zhàn)，因?yàn)樗麄儾恢缾阂廛浖欠褚呀?jīng)進(jìn)入網(wǎng)絡(luò)。入侵檢測(cè)系統(tǒng) （IDS）通常用于監(jiān)控網(wǎng)絡(luò)是否存在任何可疑活動(dòng)，但無(wú)法分析加密流量。JA3 和 JA3S 是 TLS 指紋識(shí)別方法，可用于安全監(jiān)控以檢測(cè)和防止惡意活動(dòng)。它們已成為當(dāng)今許多工具，例如 Suricata 和 Splunk)中流行的妥協(xié)指標(biāo) （IoC）。

什么是 TLS 指紋識(shí)別？

TLS指紋識(shí)別是一種從TLS ClientHello消息中提取字段以生成識(shí)別特定客戶端的指紋的技術(shù)。

TLS 握手

對(duì)于 JA3 和 JA3S，TLS 握手中最重要的部分是 ClientHello 和 ServerHello 消息。ClientHello 是發(fā)送到服務(wù)器以初始化與服務(wù)器通信的第一條消息。

ServerHello 消息是服務(wù)器對(duì)客戶端消息的響應(yīng)。JA3 和 JA3S 指紋(MD5 哈希值)是根據(jù) ClientHello 和 ServerHello 消息中的特定屬性生成的。JA3 指紋有效，因?yàn)?/p>

TLS 協(xié)商以明文形式傳輸，這就是為什么我們能夠獲得指紋生成所需的屬性。

JA3指紋

JA3 由三位 Salesforce 成員(John Althouse、Jeff Atkinson 和 Josh Atkins)開(kāi)發(fā)，是一種用于根據(jù) ClientHello 數(shù)據(jù)包生成 SSL 指紋以識(shí)別建立加密連接的客戶端的技術(shù)。JA3 指紋從一開(kāi)始就說(shuō)明客戶端應(yīng)用程序是否惡意。

JA3 指紋生成

從 ClientHello 消息中生成 JA3 指紋必不可少的屬性是 SSL 版本、密碼、擴(kuò)展、橢圓曲線和橢圓曲線點(diǎn)格式。密碼，擴(kuò)展名和橢圓曲線有助于識(shí)別客戶端。提取每個(gè)值后，將使用逗號(hào)將它們連接起來(lái)以分隔每個(gè)字段。長(zhǎng)字符串從十進(jìn)制值轉(zhuǎn)換為 MD5 哈希值，以創(chuàng)建一個(gè)簡(jiǎn)單的 32 個(gè)字符指紋，即 JA3 指紋。

字段順序如下：

SSLVersion、密碼、擴(kuò)展、EllipticCurves、EllipticCurvePointFormats

每個(gè)應(yīng)用程序使用不同的程序包和編程方法來(lái)生成ClientHello消息，該消息解釋了為什么ClientHello消息對(duì)于給定應(yīng)用程序而言是相同的。

JA3 限制

有可能兩個(gè)客戶端應(yīng)用程序具有相同的 JA3 指紋，并且對(duì)于檢測(cè)和識(shí)別通信是合法的還是惡意的沒(méi)有用。這就是為什么最好將 JA3 和 JA3S 一起使用的原因。

JA3S

JA3S 用于 SSL/TLS 通信的服務(wù)器端，指紋是使用 ServerHello 數(shù)據(jù)包中的屬性生成的。JA3S 指紋生成比 JA3 指紋需要更少的屬性。它只需要 SSL 版本、密碼和 SSLExtension。

字段順序如下：

SSLVersion、密碼、SSLExtension

JA3 + JA3S 一對(duì)

John Althouse 在 Twitter 對(duì)話中提到，JA3S 不能單獨(dú)使用，必須與 JA3 結(jié)合使用才能更有效地進(jìn)行檢測(cè)或列入黑名單。

當(dāng)成對(duì)使用時(shí)，它還可以減少誤報(bào)的數(shù)量。此外，如果我們只使用 JA3 指紋，我們很可能會(huì)看到穩(wěn)定的流量，其中大部分是合法的。

JA3和JA3S如何用于安全監(jiān)控？

JA3 指紋可用于檢測(cè)惡意規(guī)避技術(shù)。

域前置

域前置會(huì)偽裝客戶端通信的實(shí)際目的地，并將其重新路由到惡意站點(diǎn)。從防火墻的角度來(lái)看，HTTPS 請(qǐng)求實(shí)際上是在訪問(wèn)一個(gè)應(yīng)該被阻止的惡意站點(diǎn)時(shí)，它似乎是轉(zhuǎn)到一個(gè)合法的網(wǎng)站。在建立SSL連接之前，可以使用JA3和JA3S指紋來(lái)確定應(yīng)用程序的類型。

數(shù)據(jù)泄露

攻擊者使用數(shù)據(jù)泄露來(lái)未經(jīng)許可將敏感信息從組織傳輸?shù)狡浞?wù)器或系統(tǒng)。盡管信息已加密，但仍然可以確定客戶端是否正在與命令和控制服務(wù)器進(jìn)行通信。JA3指紋可用于識(shí)別它是哪種類型的應(yīng)用程序(即瀏覽器，惡意軟件等)，這對(duì)于早期發(fā)現(xiàn)可能的攻擊者可能是一個(gè)優(yōu)勢(shì)。

入侵檢測(cè)系統(tǒng)（IDS）

在組織中實(shí)施 IDS 時(shí)，監(jiān)視和檢測(cè)可能發(fā)生的任何可疑活動(dòng)可能會(huì)有所幫助。在網(wǎng)絡(luò)中安裝 IDS 以防止可能的停機(jī)時(shí)間很重要。

上述就是關(guān)于SSL通信安全監(jiān)控中的JA3和JA3S的全部?jī)?nèi)容，想了解更多關(guān)于信息安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。