JA3 JA3Sフィンガープリントとは

日本語によるJA3フィンガープリントに関する分かり易い解説が見当たらなかったので、JA3 JA3Sフィンガープリントについて調べて、ブログ記事にしてみました。

This combined fingerprinting can assist in producing higher fidelity identification of the encrypted communication between a specific client and its server.

TLS Fingerprinting with JA3 and JA3S

私を含めて知識が曖昧な方が多いと思いますのので、上記記事をレビューして勉強していきましょう。

サーバー、クライアント間での暗号化された通信の識別を担保するためにJA3 JA3Sフィンガープリントといった仕組みがあります。

実際のパケットを解析していませんが、TrickbotやEmoterといったマルウェアに感染している場合、C&Cサーバーはいつも同じフィンガープリントでクライアント側にレスポンスを返すとあります。

IPやドメインが変わろうとも、このフィンガープリントを生成するキー情報は変わらないのでそのような特定ができるようです。

JA3フィンガープリントの着想は、2015年Lee Brotherstonという方が発表したそうです。

そして、その仕組みはオープンソースとして開示されて利用者が増えているといったことがあります。

3wayハンドシェイク後、TSLクライアントが最初にHelloパケットを送信します。

このパケットや生成する方法は、クライアントアプリケーションを生成するときに使われるパッケージとメソッドによって決められます。

次にクライアントHelloパケットを受信したサーバー側は、サーバーサイドのライブラリと設定に従って、TLSサーバーHelloパケットを返信します。

この一連のやりとりは、クリアテキストで送受されるためHelloパケットの詳細を使って、クライアントアプリケーションのフィンガープリントを相互識別に利用することができるのです。

フィンガープリントが生成するキーの例は、上記サイトに詳しく記載がありますので、さらに詳細を確認したい方はご一読ください。

(Visited 2,609 times, 1 visits today)
The following two tabs change content below.
【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。