JA4+ - набор стандартов сетевых отпечатков пальцев

JA4+ - это набор простых в использовании методов сетевого отпечатка, читаемых как человеком, так и машиной, предназначенных для улучшения поиска и анализа угроз. Возможные применения включают обнаружение вредоносного ПО, выявление злоумышленников, предотвращение перехвата сеансов и многое другое. JA4+ использует уникальный формат a_b_c, позволяющий анализировать отдельные разделы отпечатка, тем самым обеспечивая более глубокое понимание. Например, GreyNoise использует JA4+, чтобы отслеживать злоумышленников даже при изменении шифров TLS, фокусируясь на постоянных частях отпечатка. JA4+ поддерживает различные протоколы, включая TLS, HTTP, SSH и TCP, с методами как для клиентского, так и для серверного отпечатка. Он доступен на Python, Rust, Zeek, C и в виде плагина Wireshark, с растущей поддержкой в таких инструментах, как GreyNoise, Zeek и Arkime. Хотя JA4 (отпечаток клиента TLS) является открытым исходным кодом под лицензией BSD 3-Clause, другие методы JA4+ подпадают под лицензию FoxIO 1.1, разрешающую академическое и внутреннее деловое использование, но требующую лицензии OEM для коммерциализации. Отпечатки JA4+ предназначены для эволюции с обновлениями библиотеки TLS приложений, обычно ежегодно, и решают проблемы, такие как урезание шифров и рандомизация расширений, отдавая приоритет уникальным спискам шифров и включая алгоритмы подписи. Проект приветствует вклад в свою базу данных отпечатков и сотрудничество с поставщиками и открытыми проектами.