TLS Analyzer

Данный метод позволяет на входе получить PCAP или текстовый файл. Из PCAP выделяются JA3-отпечатки и по ним выводится дополнительная информация. Анализ текстовых файлов позволяет установить соответствие между JA3 hash, JA3 fullstring или User-Agent. Например, получить JA3 hash и список User-Agent, загрузив JA3 fullstring. А если введено значение User-Agent, то будет выполнен поиск записей, у которых в User-Agent есть такая подстрока.

Секции внутри отчета представлены в CSV формате, чтобы их было удобно анализировать в других средствах, от Excel до Jupyter.

Для данного механизма можно активировать следующие чекбоксы:

  • Interactive — вместо текстового формируется интерактивный HTML-отчет;
  • Search in JA3 fingerprint lists — добавить в отчет секцию, в которой выводятся результаты проверки JA3-отпечатков по репутационным спискам;
  • Show all known User-Agents for JA3 fingerprints — добавить в отчет секцию, в которой содержится информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка в файле.

Отчет

Отчет может формироваться как текстовый файл или как интерактивная HTML-страница, если установлен чекбокс Interactive. Содержание отчета не зависит от формы представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании, поэтому описание отчета строится на ней.

Интерактивный отчет может быть экспортирован в HTML страницу или JSON для последующего использования вне PSG.

Каждая секция отчета может быть свернута. Внутри секций, отвечающих за проверку по репутационным спискам приводится поименный перечень всех источников, в которые попали анализируемые JA3-отпечатки. Предусмотрена фильтрация по значениям и экспорт таблиц в CSV.

Если на вход подается текстовый файл, то общий вид отчета не изменяется, но заполнены будут не все его секции. Секции “User-Agent by JA3” и “User-Agent Analysis” заполняются всегда. “Approved fingerprints” заполняется если в файле были отпечатки в формате JA3 fullstring.

Отчет состоит из секций:

  • Summary;

    • JA3 — распознано JA3-отпечатков;
    • Unique JA3 — количество уникальных JA3-отпечатков в дампе;
    • JA3 fullstring — количество отпечатков в формате JA3 fullstring;
    • Unique JA3 fullstring — количество уникальных отпечатков в формате JA3 fullstring;
    • Approved Fingerprints — количество уникальных валидных отпечатков;
    • Rejected Fingerprints — количество уникальных невалидных отпечатков;
    • Packets total — количество пакетов в дампе;
    • Packets filtered — количество проанализированных пакетов;
    • Client Hello — количество найденных ClientHello;
    • IPs total — количество уникальных IP-адресов отправителя в дампе.

  • Approved fingerprints; Таблицы уникальных валидных JA3-отпечатков, наблюдаемых в дампе в порядке убывания их количества. Для удобства сравнения между собой JA3-отпечатков в таблице Approved fingerprints предусмотрено:

    • Отключение отображения полей;
    • Подсветка похожих отпечатков. Отпечатки сравниваются по значениям Ciphers. Наборы Ciphers, похожие на указанный в поле Mark: similar ciphers, подсвечиваются синим цветом. Чем темнее оттенок синего, тем больше сходство. Критерий похожести отпечатков задается коэффициентом K, где 0 — отсутствие повторений, а 1 — полное соответствие. По умолчанию установлен коэффициент 0,8. Значение в поле можно вставить вручную или нажать на иконку в конце нужного набора. Нажатие на иконку с фильтром оставит в таблице только похожие отпечатки.

  • User-Agent by JA3; Список всех известных User-Agent для каждого JA3-отпечатка из дампа.

    • JA3 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Possible User-Agent — известный User-Agent для данного JA3-отпечатка.

  • User-Agent Analysis; Дополнительная секция, предназначенная для пользователя. Для каждого уникального отпечатка:

    • Count — сколько раз найден отпечаток в дампе;
    • JA3 Hash — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Possible User-Agent — наиболее частый User-Agent для данного JA3-отпечатка.

  • SNI by name; В секции приводится таблица распределения по частоте появления доменного имени в поле SNI:

    • % — процент от общего числа SNI;
    • Count — сколько раз встречалось в дампе;
    • SNI — доменное имя.

  • IPs by SNI; В секции приводится таблица распределения по количеству уникальных IP-адресов, обращавшихся на конкретный SNI:

    • % — процент от общего числа IP-адресов;
    • Count — количество IP-адресов;
    • IPs — список IP-адресов;
    • SNI — доменное имя.

  • JA3 by SNI; В секции приводится таблица распределения по количеству уникальных JA3-отпечатков, обращавшихся на конкретный SNI:

    • % — процент от общего числа JA3-отпечатков;
    • Count — количество JA3-отпечатков;
    • JA3 — список JA3-отпечатков;
    • SNI — доменное имя.

  • IPs by JA3; В секции приводится таблица распределения по количеству уникальных IP-адресов, с конкретными JA3-отпечатками:

    • % — процент от общего числа IP-адресов;
    • Count — количество IP-адресов;
    • IPs — список IP-адресов;
    • JA3 — JA3-отпечаток.

  • Fingerprint Analysis JA4;

    • Count — сколько раз найден отпечаток в дампе;
    • JA3 — MD5 Hash JA3-отпечатка;
    • JA4 — JA4-отпечаток;
    • JA4 Raw — JA4-отпечаток в RAW формате.

  • IPs by JA4; В секции приводится таблица распределения по количеству уникальных IP-адресов, с конкретными JA4-отпечатками:

    • % — процент от общего числа IP-адресов;
    • Count — количество IP-адресов;
    • IPs — список IP-адресов;
    • JA4 — JA4-отпечаток.

  • JA4 by SNI; В секции приводится таблица распределения JA4-отпечатков по каждому домену с указанием количества появления отпечатка:

    • % — процент от общего числа JA3-отпечатков;
    • Count — количество JA4-отпечатков;
    • JA4 — список JA4-отпечатков;
    • SNI — доменное имя.

  • ClientHello by IPs; В секции приводится таблица распределения ClientHello по IP-адресам отправителей:

    • % — процент от общего числа ClientHello;
    • Count — количество ClientHello с IP-адреса;
    • IP — IP-адрес;
    • Count — сколько ClientHello соответствуют конкретному JA3-отпечатку;
    • JA3 — список MD5 Hash JA3-отпечатков с данного IP-адреса.

  • SS Feed JA3 Lists Analysis; В секции приводятся список JA3-отпечатков, по которым обнаружено вхождение в репутационные списки:

    • Count — сколько раз найден отпечаток в дампе;
    • MD5 — MD5 Hash JA3-отпечатка для поиска информации во внешних источниках;
    • Comment — комментарий к JA3-отпечатку.