TLS Analyzer

Данный метод позволяет на входе получить PCAP или текстовый файл. Из PCAP выделяются JA3-отпечатки и по ним выводится дополнительная информация. Анализ текстовых файлов позволяет установить соответствие между JA3 hash, JA3 fulltext или User-Agent. Например, получить JA3 hash и список User-Agent, загрузив JA3 fulltext. А если введено значение User-Agent, то будет выполнен поиск записей, у которых в User-Agent есть такая подстрока.

Секции внутри отчета представлены в CSV формате, чтобы их было удобно анализировать в других средствах, от Excel до Jupyter.

Для данного механизма можно активировать следующие чекбоксы:

  • Interactive — вместо текстового формируется интерактивный HTML-отчет;
  • Search in JA3 fingerprint lists — добавить в отчет секцию, в которой выводятся результаты проверки JA3-отпечатков по репутационным спискам;
  • Show all known User-Agents for JA3 fingerprints — добавить в отчет секцию, в которой содержится информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка в файле.

Отчет

Отчет может формироваться как текстовый файл или как интерактивная HTML-страница, если установлен чекбокс Interactive. Содержание отчета не зависит от формы представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании, поэтому описание отчета строится на ней.

Интерактивный отчет может быть экспортирован в HTML страницу или JSON для последующего использования вне PSG.

Каждая секция отчета может быть свернута. Внутри секций, отвечающих за проверку по репутационным спискам приводится поименный перечень всех источников, в которые попали анализируемые JA3-отпечатки. Предусмотрена фильтрация по значениям и экспорт таблиц в CSV.

Отчет для PCAP на входе

Отчет состоит из секций:

  • Summary;

    • Packets total — количество пакетов в дампе;
    • Packets filtered — количество проанализированных пакетов;
    • Fingerprints total — общее количество уникальных отпечатков, наблюдаемых в дампе;
    • Fingerprints approved/rejected — отношение количества уникальных валидных отпечатков к невалидным;
    • Client Hello — количество найденных ClientHello.
  • Fingerprint Analysis; Таблицы уникальных валидных и невалидных JA3-отпечатков, наблюдаемых в дампе в порядке убывания их количества. Для удобства сравнения между собой JA3-отпечатков в таблице Approved fingerprints предусмотрено:

    • Отключение отображения полей;
    • Подсветка похожих отпечатков. Отпечатки сравниваются по значениям Ciphers. Наборы Ciphers, похожие на указанный в поле Mark: similar ciphers, подсвечиваются синим цветом. Чем темнее оттенок синего, тем больше сходство. Критерий похожести отпечатков задается коэффициентом K, где 0 — отсутствие повторений, а 1 — полное соответствие. По умолчанию установлен коэффициент 0,8. Значение в поле можно вставить вручную или нажать на иконку в конце нужного набора. Нажатие на иконку с фильтром оставит в таблице только похожие отпечатки.
  • User-Agent Analysis; Дополнительная секция, предназначенная для пользователя. Для каждого уникального отпечатка:

    • Count — сколько раз найден отпечаток в дампе;
    • MD5 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Possible User-Agent — подсказка по User-Agent.
  • SS Feed JA3 Lists Analysis; В секции приводятся список JA3-отпечатков, по которым обнаружено вхождение в репутационные списки:

    • Count — сколько раз найден отпечаток в дампе;
    • MD5 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Comment — комментарий к JA3-отпечатку.
  • User-Agents by MD5; Информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка.

  • SNI by name; В секции приводится таблица распределения по частоте появления доменного имени в поле SNI:

    • % — процент от общего числа SNI;
    • ABS — сколько раз встречалось в дампе;
    • SNI — доменное имя.
  • IPs by SNI; В секции приводится таблица распределения по количеству уникальных IP-адресов, обращавшихся на конкретный SNI:

    • % — процент от общего числа IP-адресов;
    • ABS — количество IP-адресов;
    • IPs — список IP-адресов;
    • SNI — доменное имя.
  • IPs by JA3; В секции приводится таблица распределения по количеству уникальных IP-адресов, с конкретными JA3-отпечатками:

    • % — процент от общего числа IP-адресов;
    • ABS — количество IP-адресов;
    • IPs — список IP-адресов;
    • JA3 — JA3-отпечаток.
  • MD5 by SNI; В секции приводится таблица распределения JA3-отпечатков по каждому домену с указанием количества появления отпечатка:

    • % — процент от общего числа JA3-отпечатков;
    • ABS — количество JA3-отпечатков;
    • MD5 — список MD5 Hash JA3-отпечатков;
    • SNI — доменное имя.

Отчет для текстового файла на входе

Если для анализа выбран текстовый файл, то в отчете выводятся:

  • Summary;

    • MD5 — количество отпечатков в формате MD5;
    • Unique MD5 — количество уникальных MD5;
    • JA3 — количество отпечатков в формате JA3-fullstring;
    • Unique JA3 — количество уникальных JA3-fullstring;
    • User-Agent — количество User-Agent;
    • Unique User-Agent — количество уникальных User-Agent;
    • Unique Fingerprint — количество JA3-отпечатков в любом формате;
    • JA3 Feed Matching Percent — доля отпечатков, обнаруженных в репутационных списках с сервиса аналитики.
  • Search results; В секции приводятся результаты поиска соответствий по базам сервиса.

    • Count — найдено соответствий;
    • MD5 — MD5 Hash JA3-отпечатка;
    • User-Agent — подсказка по User-Agent.
    • JA3 — JA3-fullstring.
  • SS Feed JA3 Lists Analysis; В секции приводятся список JA3-отпечатков, по которым обнаружено вхождение в репутационные списки:

    • Count — сколько раз найден отпечаток в дампе;
    • MD5 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Comment — комментарий к JA3-отпечатку.