NetQuestfingerprint, JA3 부터 JA4+ 까지

fingerprint, JA3 부터 JA4+ 까지



사이버 범죄자들이 암호화된 데이터를 악용하는 데 점점 더 능숙해짐에 따라 "fingerprint" 기술은 이러한 공격을 탐지하고 예방하는 데 중요한 역할을 합니다. 기술이 급속도로 발전함에 따라 지문 인식 기술도 발전하고 있습니다.


2023년 9월, FoxIO의 John Althouse는 JA4+라는 새로운 threat hunting fingerprint 제품군을 발표했습니다. 획기적인 fingerprint 기술 업데이트에 대해 알아야 할 사항은 다음과 같습니다.



JA3에 대한 간략한 개요

JA3 fingerprint 가 사이버 보안 분야에 미친 영향과 threat hunter가 TLS 암호화 트래픽을 처리하는 데 도움이 되는 JA3의 기능에 대해 언급된 많은 내용은 오늘날에도 여전히 사실입니다. JA3는 초기 handshake 프로세스 동안의 동작을 기반으로 TLS client를 fingerprint하는 강력한 방법으로 사이버 보안 커뮤니티에서 큰 반향을 일으켰습니다. Client의 지원되는 암호 및 확장과 같은 암호화 매개변수를 분석함으로써 JA3는 각 TLS client 애플리케이션에 대해 고유한 fingerprint를 생성할 수 있습니다.


이 솔루션은 client와 server간의 handshake 프로세스를 활용합니다. 이러한 handshake 중에 TLS version, TLS extension lengths, cipher suites, elliptic curve groups, and elliptic curve point formats과 같은 다양한 매개변수를 협상해야 합니다. 그런 다음 이러한 handshake 세부 정보를 32자 MD5 해시로 변환하여 client와 server측 모두에 대한 JA3 fingerprint를 만듭니다. 이러한 JA3  fingerprint를 갖춘 이 기술은malwasre 및 botnet과 같은 위협을 탐지하고 완화하는 데 매우 귀중한 것으로 입증되었습니다.



JA4+ 소개

JA3의 성공을 바탕으로 JA4+는 threat hunting을 위한 네트워크 트래픽 fingerprint의 다음 진화 단계로 등장합니다. JA3가 주로 TLS handshake에 초점을 맞춘 반면, JA4+는 범위를 확장하여 더 광범위한 네트워크 트래픽 분석을 포함합니다. 이러한 진화를 통해 JA4+는 네트워크 활동에 대한 보다 포괄적인 보기를 제공하여 고급 위협과 정교한 적을 식별할 수 있게 됩니다.


Hunt.io와의 인터뷰에서 제작자 중 한 명인 John Althouse는 "마침내 선별된 데이터와 API 액세스가 있는 지문 데이터베이스가 생길 것입니다. JA4+는 맬웨어뿐만 아니라 광범위한 위협에 대한 수동적 네트워크 탐지를 허용합니다."라고 말했습니다.




네트워크 보안 threat hunting을 위한 두 가지  fingerprint 활용

대부분의 기술 혁신 및 발전과 달리 JA4+는 JA3를 즉시 대체하기 위한 것이라기 보다, 그 기능을 활용하고, 추가 분석 심도를 제공하며, 보다 포괄적인 Network Security Plan으로의 마이그레이션을 제공하기 위함이라고 볼 수 있습니다. 보안 팀이 두 가지를 모두 활용할 수 있는 세 가지 주요 영역은 다음과 같습니다.


위협 탐지: 조직은 JA3와 JA4+를 모두 활용하여 위협 탐지 기능을 강화할 수 있습니다. JA3는 TLS 핸드셰이크 패턴을 기반으로 알려진 위협을 식별하는 데 뛰어난 반면, JA4+는 네트워크 작업을 분석하기 위한 더 광범위한 맥락을 제공하여 보다 정교한 위협을 탐지할 수 있습니다.

사고 대응: 사고 대응 절차에 JA3 및 JA4+를 통합하면 보안 사고를 신속하게 식별하고 대응하는 능력이 향상됩니다. 이러한 기술을 결합하면 네트워크 동작과 잠재적 위협을 이해하는 데 다각적인 접근 방식을 제공합니다.

위협 인텔리전스: JA3 및 JA4+ 시그니처를 활용하면 사이버 보안 팀은 귀중한 위협 인텔리전스를 제공하여 조직뿐만 아니라 더 광범위한 커뮤니티의 보안 태세를 강화할 수 있습니다. 네트워크 지문에서 얻은 통찰력을 공유하면 새로운 위협에 공동으로 대처하고 미래의 위협을 이론적으로 예측하고 완화하는 데 도움이 됩니다.



JA3 fingerprint vs. JA4+ fingerprint 차이점 비교 차트

JA4+는 더 많은 트래픽 프로토콜을 활용하여 침해 지표를 찾아 JA3가 설정한 기반을 확장합니다.




JA4+ 지문으로 네트워크 가시성 최적화!

점점 더 많은 양의 데이터가 암호화됨에 따라 "건초더미에서 바늘 찾기"를 담당하는 대규모 정부 및 통신 보안 팀은 거대한 "건초더미"에서 더 작은 "바늘"을 찾는 과제에 직면해 있습니다. 공격 표면이 확대되면서 팀은 네트워크 보안에 대한 사전 예방적 접근 방식을 만들어야 했습니다.


NetQuest의 Streaming Network Sensor는 암호화된 트래픽을 식별하고 JA3 및 JA4+ fingerprint, signature 및 heuristics을 추출하여 위협 탐지를 가속화 합니다. 이 센서를 사용하면 침해 지표를 식별하고 느리고 비용이 많이 드는 암호 해독 없이 컨텍스트가 풍부한 메타데이터를 통해 암호화된 트래픽에 숨겨진 위협을 노출시킬 수 있습니다.


컨텍스트가 풍부한 메타데이터는 포괄적인 dataset을 제공함으로써 고도의 트래픽 인텔리전스를 통해 보안 도구를 강화시킵니다. 이를 통해 새로운 위협 탐지를 가속화하고, 고위험 행동을 식별하고, '낮고 느린' 공격 벡터를 발견하고, 침해 지표를 정확히 파악하고, 조사 활동을 지원합니다.




Example Use Cases


Optimized Multi-Terabit Visibility for 100/40/10G Networks








 


Threat Hunting and Detection

기존 보안 방어를 회피했을 수 있는 고급 위협 및 손상 징후를 사전에 탐지하여 위협에 신속하게 대응하고 신뢰할 수 있고 실행 가능한 증거를 통해 중요한 위협 의사 결정을 보완합니다. 


Encrypted Traffic Analysis

암호화된 트래픽을 식별하고 지문, 서명 및 휴리스틱을 추출하여 위협 탐지를 가속화하고, 손상 징후를 식별하며, 암호화된 트래픽에 숨겨진 위협을 느리고 비용이 많이 드는 암호 해독 없이 노출할 수 있습니다. 


Incident Response and Remediation

신뢰할 수 있는 패킷과 같은 증거를 통해 입력, 경로 및 손상의 증거를 통해 위협 및 보안 위반을 신속하고 효과적으로 식별하고 대응하여 트랜잭션 및 세션을 신속하고 정확하게 재구성할 수 있습니다. 


Continuous Monitoring

풍부한 메타데이터는 위협 및 위협 활동에 대한 지속적인 이해를 위해 모든 시스템 및 네트워크 트래픽에 대한 상황 인식을 유지하기 위해 높은 충실도로 공격을 실시간으로 탐지할 수 있는 완벽한 가시성을 제공합니다. 


Historical Forensic Analysis

사이버 공격의 근원, 사용된 명령 및 제어 채널, 액세스된 파일 및 보안 사고의 근본 원인 및 액세스 경로를 식별하기 위한 조사 및 포렌식 재구성을 위한 모든 네트워크 활동에 대한 정확한 이력 메트릭. 


IP Data Records

네트워크 트래픽에서 중요한 데이터를 추출하여 애플리케이션, 인터넷 브라우징, 이메일, 채팅 및 VoIP와 같은 IP 서비스를 식별하여 고정 및 모바일 네트워크에 대한 조사 및 지속적인 인텔리전스 활동을 위한 기반을 제공합니다. 


Fraud Detection and Investigation

트랜잭션, 위치, 장치, 세션 및 인증 시스템을 공개하는 트래픽 인텔리전스를 통해 강력한 데이터 마이닝을 통해 부정 행위 및 재발하는 비정상적인 패턴의 지표를 밝히고 조사를 지원합니다.


Regulatory and Compliance

트래픽 인텔리전스를 통해 규정 준수 보고를 통해 규정 준수를 준수하지 않는 행동을 식별하고 고위험 활동 및 이상 징후를 탐지하여 데이터 개인 정보 보호 규정 및 정책 준수를 보장하고 규정 준수를 준수하지 않는 사고를 방지할 수 있습니다. 


Lawful Intelligence

샘플링되지 않은 메타데이터는 법적 인텔리전스 수집에 최적화된 신뢰할 수 있고 정확한 트래픽 인텔리전스 데이터 수집 기능을 제공하며, 이를 통해 규제 요구 사항을 충족하는 높은 무결성의 중요 인텔리전스를 추출하는 애플리케이션 및 프로토콜 레벨 강화 기능을 제공합니다.




출처 원문: https://netquestcorp.com/ja4-tracing-the-progress/ 

참고 자료: https://netquestcorp.com/wp-content/uploads/2024/03/product-brief-streaming-network-sensors-v2-high-quality.pdf