超越散列：无监督机器学习如何释放JA3Max Heinemeyer的真正力量，威胁狩猎主管| 2018年6月22日星期五介绍JA3JA3是一种用于指纹识别传输层安全应用程序的方法。它于2017年6月首次发布在GitHub上，由Salesforce研究人员John Althouse、Jeff Atkinson和Josh Atkins完成。创建的ja3tls/SSL指纹可以在应用程序之间重叠，轻云，但仍然是一个很好的折衷指标（IoC）。指纹识别是通过在TLS/SSL的初始阶段发送的客户端Hello消息中创建5个十进制字段的散列来实现的会话.JA3是一个有趣的方法来增加加密在网络中的使用。使用加密的指挥与控制（C2）通道（如HTTPS）对恶意软件进行的网络攻击也明显上升通讯。那个JA3增强规则和签名安全性的好处这些近乎唯一的指纹可用于增强传统的网络安全方法，如白名单、黑名单和搜索为IoCs。让以以下JA3哈希为例：3e860202fc555b939e83e7a7ab518c38。根据将JA3映射到应用程序的一个公共列表，这个JA3散列与"hola_svc"应用程序相关联。这是臭名昭著的Hola VPN解决方案，在大多数企业网络中都是不兼容的。另一方面，以下哈希与流行的messenger软件Slack相关：a5aa6e939e4770e3b8ac38ce414fd0d5。传统的网络安全工具可以像传统的签名一样使用这些哈希来搜索数据集中的实例，或者试图将恶意的黑名单一个。而这种方法有一些优点，它具有所有已知的规则和签名防御的局限性，例如签名中的重叠，无法检测未知威胁，以及必须维护已知数据库的复杂性签名.JA3在darktrace中，darktrace为它遇到的每个TLS/SSL连接创建JA3哈希。这在很多方面都非常强大。首先，淘客服，JA3可以为威胁狩猎添加宝贵的背景信息。其次，还可以查询Darktrace以查看网络中是否遇到了特定的JA3，因此，如果JA3 ioc已知事件，则可以在事件响应期间提供可操作的情报回应者。事情一旦我们将无监督机器学习应用到JA3:Darktrace的人工智能算法自动检测，就会变得更加有趣哪些ja3对于整个网络来说是异常的，哪些ja3对于特定的ja3是不寻常的设备。It基本上告诉一位网络安全专家：这个JA3（3e860202fc555b939e83e7a7ab518c38）以前从未在网络中出现过，网站自助建站系统，云服务器免费，它只被一个设备使用。它表示网络上没有其他人使用的应用程序正在启动TLS/SSL连接。在我们的经验中，这通常是恶意软件或不兼容软件的情况。在这个阶段，我们观察到异常行为。黑暗种族他的人工智能将这些ioc（不寻常网络JA3，不寻常设备JA3，…）与许多其他弱指标结合起来，以检测新出现的威胁的早期迹象，包括先前未知的威胁，不使用规则或硬编码阈值。捕捉下面是一个例子，Darktrace通过观察JA3异常来检测红队的C2通信行为举止无监督的机器学习算法识别出一个使用JA3的桌面设备，这对于连接到的网络来说是100%不寻常的使用Let's Encrypt证书的外部域，该证书与自签名证书一起经常被恶意参与者滥用。除了JA3，这个域名对网络来说也是100%罕见的——没有其他人访问过它：结果发现一个红色团队注册了一个与受害者合法域名非常相似的域：公司名称[.]com（合法域）vs。公司名称[.]在线（恶意域）。这样做是为了避免怀疑和人为分析。在一个2000设备环境中的7天时间里，这是Darktrace唯一一次标记这种异常行为善良。就像C2通信量是加密的（因此在有效载荷上不可能进行入侵检测），并且域是非可疑的（没有基于信誉的黑名单起作用），这个C2一直没有被其余的安全堆叠。组合JA3的无监督机器学习对于检测领域前沿非常强大。域名前置是一种常用的规避审查和隐藏C2流量的技术。虽然一些基础设施提供商采取措施防止域前端化，但它仍然普遍存在，并被积极使用袭击者。那个在网络安全团体中，检测域前沿的唯一一致方法似乎是TLS/SSL检查。这通常涉及到中断加密通信来检查明文有效载荷。虽然这是可行的，但通常需要额外的基础设施，网络重组和隐私问题-尤其是在GDPR.无监督机器学习通过将异常JA3检测与其他异常（如信标）相结合，使得检测域前沿而不必破坏加密流量成为可能。一个好的开始域前沿威胁搜索？一种带有异常JA3的异常CDN信标设备哈希结论ja3不是先发制人的恶意软件妥协的灵丹妙药。作为一种基于签名的解决方案，它与其他所有依赖预先识别的威胁或黑名单的防御措施有着相同的局限性：必须与创新型攻击者进行持续的追赶游戏。然而，作为识别TLS/SSL应用程序的一种新方法，云实，JA3散列可以作为一个强大的网络行为指示器，一个可以标记未经授权或有风险的软件使用的附加指标，或者作为在C2通信的初始阶段识别新出现的恶意软件危害的方法。这是通过无监督机器的力量实现的学习。麦克斯HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件