Wskaźniki te mogą obejmować adresy IP, nazwy hostów, adresy URL, hashe plików, geolokalizacje (ASN-y, kraje), konta e-mail, agenty użytkownika i wiele innych. Wśród powszechnie wykorzystywanych wskaźników szczególną uwagę warto zwrócić na odcisk palca JA3 TLS. JA3 to narzędzie do tworzenia odcisków palca połączeń TLS na podstawie opcji negocjowanych podczas sesji TLS. Na podstawie tych odcisków można wykrywać konkretne aplikacje, jak również złośliwe oprogramowanie.
Ta metoda jest szczególnie przydatna, ponieważ większość ruchu w organizacjach jest zazwyczaj szyfrowana, co oznacza, że systemy analizy pakietów sieciowych, takie jak IPS, są silnie ograniczone bez odszyfrowywania ruchu. W internecie można znaleźć wiele wskaźników kompromitacji zawierających złośliwe odciski JA3, np. https://sslbl.abuse.ch/ja3-fingerprints/.
Odciski JA3 są dostępne dla klientów, którzy zakupili licencję Performance systemu Sycope NSM.
W Sycope NSM dostępna jest wbudowana reguła do wykrywania złośliwych odcisków JA3, jednak poniżej znajduje się przykład prostego zapytania do wykrywania tej aktywności.
FAQ
JA3 to narzędzie do tworzenia odcisków palca połączeń TLS na podstawie opcji negocjowanych podczas sesji TLS, które pomagają w identyfikacji aplikacji i złośliwego oprogramowania.
Odciski JA3 są szczególnie przydatne, ponieważ umożliwiają wykrywanie złośliwego ruchu w kontekście szyfrowanych danych, co jest kluczowe, gdy większość ruchu w organizacjach jest szyfrowana.
W internecie dostępne są wskaźniki kompromitacji z złośliwymi odciskami JA3, na przykład na stronie https://sslbl.abuse.ch/ja3-fingerprints/.
Wskaźniki te mogą obejmować adresy IP, nazwy hostów, adresy URL, hashe plików, geolokalizacje, konta e-mail, agenty użytkownika i wiele innych.
Tak, w Sycope NSM dostępna jest wbudowana reguła do wykrywania złośliwych odcisków JA3.
