Способ анализа TLS (для контрмеры ATLS)

Данный метод выделяет из PCAP для TLS трафика JA3-отпечатки. Результаты выдаются в CSV, чтобы их было удобно анализировать в других средствах, от Excel до Jupyter.

Отчет

Отчет состоит из трех секций:

  • Summary;

    • Packets total — количество пакетов в дампе;
    • Packets filtered — количество проанализированных пакетов;
    • ClientHello — количество найденных ClientHello;
    • Fingerprints — количество уникальных отпечатков.

  • Fingerprints;
    Список уникальных отпечатков в формате загрузки в контрмеру ATLS. Список отсортирован в порядке убывания количества отпечатков в дампе.

  • User-Agent Analysis;
    Дополнительная секция, предназначенная для пользователя. Для каждого уникального отпечатка:

    • Count, сколько раз найден отпечаток в дампе;
    • MD5 Hash, для поиска информации во внешних источниках;
    • Possible User-Agent, подсказка по User-Agent.

Анализ JA3-отпечатков

Если для анализа выбран файл с ручным вводом значений, то в отчете выводятся результаты поиска соответствий по базам сервиса. Например, указание JA3-hash позволяет получить в отчете JA3 fulltext и наоборот. Также будут перечислены все значения User-Agent, наблюдавшиеся для указанного JA3-отпечатка.

Если ввести значение User-Agent, то будет выполнен поиск записей у которых в User-Agent есть такая подстрока. JA3-отпечатки с User-Agent, по которым обнаружено совпадение, выводятся в отчет.