TLS Analyzer
Данный метод позволяет на входе получить PCAP или текстовый файл. Из PCAP выделяются JA3-отпечатки и по ним выводится дополнительная информация. Анализ текстовых файлов позволяет установить соответствие между JA3 hash, JA3 fulltext или User-Agent. Например, получить JA3 hash и список User-Agent, загрузив JA3 fulltext. А если введено значение User-Agent, то будет выполнен поиск записей, у которых в User-Agent есть такая подстрока.
Секции внутри отчета представлены в CSV формате, чтобы их было удобно анализировать в других средствах, от Excel до Jupyter.
Для данного механизма можно активировать следующие чекбоксы:
- Interactive — вместо текстового формируется интерактивный HTML-отчет;
- Search in JA3 fingerprint lists — добавить в отчет секцию, в которой выводятся результаты проверки JA3-отпечатков по репутационным спискам;
- Show all known User-Agents for JA3 fingerprints — добавить в отчет секцию, в которой содержится информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка в файле.
Отчет
Отчет может формироваться как текстовый файл или как интерактивная HTML-страница, если установлен чекбокс Interactive. Содержание отчета не зависит от формы представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании, поэтому описание отчета строится на ней.
Интерактивный отчет может быть экспортирован в HTML страницу или JSON для последующего использования вне PSG.
Каждая секция отчета может быть свернута. Внутри секций, отвечающих за проверку по репутационным спискам приводится поименный перечень всех источников, в которые попали анализируемые JA3-отпечатки. Предусмотрена фильтрация по значениям и экспорт таблиц в CSV.
Отчет для PCAP на входе
Отчет состоит из секций:
-
- Packets total — количество пакетов в дампе;
- Packets filtered — количество проанализированных пакетов;
- Fingerprints total — общее количество уникальных отпечатков, наблюдаемых в дампе;
- Fingerprints approved/rejected — отношение количества уникальных валидных отпечатков к невалидным;
- Client Hello — количество найденных ClientHello;
- IPs total — количество уникальных IP-адресов отправителя в дампе.
-
Fingerprint Analysis; Таблицы уникальных валидных и невалидных JA3-отпечатков, наблюдаемых в дампе в порядке убывания их количества. Для удобства сравнения между собой JA3-отпечатков в таблице Approved fingerprints предусмотрено:
- Отключение отображения полей;
- Подсветка похожих отпечатков. Отпечатки сравниваются по значениям Ciphers. Наборы Ciphers, похожие на указанный в поле Mark: similar ciphers, подсвечиваются синим цветом. Чем темнее оттенок синего, тем больше сходство. Критерий похожести отпечатков задается коэффициентом K, где 0 — отсутствие повторений, а 1 — полное соответствие. По умолчанию установлен коэффициент 0,8. Значение в поле можно вставить вручную или нажать на иконку в конце нужного набора. Нажатие на иконку с фильтром оставит в таблице только похожие отпечатки.
-
User-Agent Analysis; Дополнительная секция, предназначенная для пользователя. Для каждого уникального отпечатка:
- Count — сколько раз найден отпечаток в дампе;
- MD5 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
- Possible User-Agent — подсказка по User-Agent.
-
SS Feed JA3 Lists Analysis; В секции приводятся список JA3-отпечатков, по которым обнаружено вхождение в репутационные списки:
- Count — сколько раз найден отпечаток в дампе;
- MD5 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
- Comment — комментарий к JA3-отпечатку.
-
User-Agents by MD5; Информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка.
-
SNI by name; В секции приводится таблица распределения по частоте появления доменного имени в поле SNI:
- % — процент от общего числа SNI;
- ABS — сколько раз встречалось в дампе;
- SNI — доменное имя.
-
IPs by SNI; В секции приводится таблица распределения по количеству уникальных IP-адресов, обращавшихся на конкретный SNI:
- % — процент от общего числа IP-адресов;
- ABS — количество IP-адресов;
- IPs — список IP-адресов;
- SNI — доменное имя.
-
IPs by JA3; В секции приводится таблица распределения по количеству уникальных IP-адресов, с конкретными JA3-отпечатками:
- % — процент от общего числа IP-адресов;
- ABS — количество IP-адресов;
- IPs — список IP-адресов;
- JA3 — JA3-отпечаток.
-
MD5 by SNI; В секции приводится таблица распределения JA3-отпечатков по каждому домену с указанием количества появления отпечатка:
- % — процент от общего числа JA3-отпечатков;
- ABS — количество JA3-отпечатков;
- MD5 — список MD5 Hash JA3-отпечатков;
- SNI — доменное имя.
-
ClientHello by IPs; В секции приводится таблица распределения ClientHello по IP-адресам отправителей:
- % — процент от общего числа ClientHello;
- ABS — количество ClientHello;
- IP — список IP-адресов;
- Count — сколько раз найден отпечаток в дампе;
- MD5 — список MD5 Hash JA3-отпечатков.
В текстовом варианте отчета также доступны секции:
-
- Count — сколько раз найден отпечаток в дампе;
- JA4 — MD5 Hash JA4-отпечатка;
- JA3 — MD5 Hash JA3-отпечатка;
- JA4_r — RAW JA4-отпечаток в байтовом представлении.
-
IPs by JA4; В секции приводится таблица распределения по количеству уникальных IP-адресов, с конкретными JA4-отпечатками:
- % — процент от общего числа IP-адресов;
- ABS — количество IP-адресов;
- IPs — список IP-адресов;
- JA4 — JA4-отпечаток.
-
JA4 by SNI; В секции приводится таблица распределения JA4-отпечатков по каждому домену с указанием количества появления отпечатка:
- % — процент от общего числа JA3-отпечатков;
- ABS — количество JA4-отпечатков;
- MD5 — список MD5 Hash JA4-отпечатков;
- SNI — доменное имя.
Отчет для текстового файла на входе
Если для анализа выбран текстовый файл, то в отчете выводятся:
-
- MD5 — количество отпечатков в формате MD5;
- Unique MD5 — количество уникальных MD5;
- JA3 — количество отпечатков в формате JA3-fullstring;
- Unique JA3 — количество уникальных JA3-fullstring;
- User-Agent — количество User-Agent;
- Unique User-Agent — количество уникальных User-Agent;
- Unique Fingerprint — количество JA3-отпечатков в любом формате;
- JA3 Feed Matching Percent — доля отпечатков, обнаруженных в репутационных списках с сервиса аналитики.
-
Search results; В секции приводятся результаты поиска соответствий по базам сервиса.
- Count — найдено соответствий;
- MD5 — MD5 Hash JA3-отпечатка;
- User-Agent — подсказка по User-Agent.
- JA3 — JA3-fullstring.
-
SS Feed JA3 Lists Analysis; В секции приводятся список JA3-отпечатков, по которым обнаружено вхождение в репутационные списки:
- Count — сколько раз найден отпечаток в дампе;
- MD5 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
- Comment — комментарий к JA3-отпечатку.