Программный комплекс автоматизированного выявления потенциальных угроз в сетевом трафике на основе анализа протокола TLS с помощью инструментов JA3 и JA3S
Читать статью полностью
Программный комплекс автоматизированного выявления потенциальных угроз в сетевом трафике на основе анализа протокола TLS с помощью инструментов JA3 и JA3S(1,43 MB)Аннотация
В статье рассмотрены особенности функционирования криптографического протокола TLS. Представлены результаты исследования совместного использования инструментов JA3 и JA3S, предлагающие метод создания «отпечатков пальцев» (Fingerprints) из протокола TLS, используя данные сетевых пакетов клиента «Client Hello» и сервера «Server Hello» в анализируемом сетевом трафике. Обоснована архитектура ПК автоматизированного выявления потенциальной угрозы на основе метода синтаксического анализа хэш-функции MD5. Приведены результаты исследований подозрительных значений хэш-функций на предмет выявления угроз. Показаны функциональные возможности разработанного ПК для анализа сетевого трафика на наличие в нём ВПО.
The article discusses the features of the TLS cryptographic protocol functioning. The results of the JA3 and JA3S tools joint use research are presented, offering a method for creating «fingerprints» from the TLS protocol using data from the network packets of the «Client Hello» client and the «Server Hello» server in the analyzed network traffic. The software package (PC) is developed by means of Python programming language. The output is the collection of «fingerprints» from the TLS protocol in the form of an MD5 hash function and following coincidence search in malicious software (MS) database associated with the C2 management and control server. The PC architecture for automated potential threat identification is substantiated basing on the method of MD5 hash function syntactic analysis. The result of the research is presented. It contains suspicious hash function values for detecting threats. The functionality of the developed PC for analyzing network traffic for the presence of the Internet in it is shown.
Ключевые слова:
вредоносное программное обеспечение – malicious software; протокол TLS – TLS protocol; инструменты JA3 и JA3S – JA3 and JA3S tools; «отпечатки пальцев» в протоколе TLS – «fingerprints» in the TLS protocol; синтаксический анализ – parsing; JA3 SSL Fingerprint; сетевой трафик – network traffic.
Список литературы
1. Развитие информационных угроз во втором квартале 2021 года // Securelist by Kaspersky : сайт. – 2021. – URL: https://securelist.ru/it-threat-evolution-in-q2-2021-pcstatistics/ 103374/ (дата обращения: 02.02.2022).
2. Pérez, S. I. ScienceDirect: A new approach to combine multiplex networks and time series attributes: Building intrusion detection systems (IDS) in cybersecurity / S.I. Pérez, S. Moral- Rubio, R. Criadoabc // Chaos, Solitons & Fractals. – 2021. – Vol. 150. – URL: https://www.sciencedirect.com/science/article/abs/pii/S0960077921004975 (дата обращения: 02.02.2022).
3. GitHub : Salesforce : сайт. – URL: https://github. com/salesforce/ja3/tree/master/python (дата обращения: 02.02.2022).
4. Таненбаум, Э. Компьютерные сети / Э. Таненбаум, Д. Уэзеролл. – Санкт-Петербург: ПИТЕР, 2012. – 960 с.
5. Request for Comments: The Transport Layer Security (TLS) Protocol. – URL: https://datatracker.ietf.org/doc/html/ rfc5246 (дата обращения : 03.02.2022).
6. Nearly half of malware now use TLS to conceal communications // Sophos news: сайт. – 2021. – URL: https://news.sophos.com/en-us/2021/04/21/nearly-half-of-malwarenow-use-tls-to-conceal-communications/?ref=hackernoon.com (дата обращения: 03.02.2022).
7. Varonis: What is C2? Command and Control Infrastructure Explained. – URL: https://www.varonis.com/blog/what-is-c2 (дата обращения: 10.02.2022).
8. Network Foundation for Command and Control (C2) Systems: Literature Review / D.A. Eisenberg, D.L. Alderson, M. Kitsak [et al.] // IEEE Access. – 2018. – Vol. 6. – P. 68782–68794.
9. John Althouse // Medium : блог-платформа. – URL: https://medium.com/@jalthouse (дата обращения: 17.02.2022).
10. Abuse: Suricata JA3 Fingerprint Blacklist (CSV) : сайт. – URL: https://sslbl.abuse.ch/blacklist/ja3_fingerprints.csv (дата обращения: 04.03.2022).