JA4 TLS Fingerprinting

exploding security #38 - Fingerprinting Übersicht mit JA4 - MotelOne - 23andMe – Encrypted ClientHello – Haylxon – GreyNoise – ONYPHE – Cyberwar Israel

sral

10 min read
exploding security #38 - Fingerprinting Übersicht mit JA4 - MotelOne - 23andMe – Encrypted ClientHello – Haylxon – GreyNoise – ONYPHE – Cyberwar Israel
Foto von Photoholgic auf Unsplash

Koalas, Affen und Menschen sind die einzigen Lebewesen mit individuellem Fingerabdruck. Bei Hunden ist es die Nase. Früher auch als Tastrosette bekannt, ist der Fingerabdruck auch in der IT nicht unwichtig. Sei es bei biometrischen Authentifizierungsmaßnahmen oder im Internet.

explodingsecurity #38 zeigt dir diese Woche, was für Fingerabdrücke im Netz genommen werden können.

rueckblick-2
Rückblick: Was gibt es Neues zu den Themen der letzten Wochen?

MotelOne

Wie du noch aus ES#37 wissen solltest, wurde MotelOne Ziel von Blackcat/Alphv und deren Ransomware. Wie der Spiegel berichtet, hat die SZ etwas genauere Informationen über den Inhalt der abgezogenen 6 Terabyte.

Laut »SZ« enthält der Satz neben den annähernd vollständigen Übernachtungslisten seit dem Jahr 2016 private Rechnungsadressen, Geburtsdaten von Kunden sowie interne Geschäftszahlen und Handynummern von Motel-One-Mitarbeitern. Die Daten zu einzelnen Übernachtungen finden sich demnach hauptsächlich in sogenannten »Notfall-Listen«, die Hotels von Motel One anscheinend täglich anlegen.

Das Bayerische Landesamt für Datenschutzaufsicht wusste wohl seit einem Monat von diesem Vorfall. Die im Februar 2019 gegründete EuGD Europäische Gesellschaft für Datenschutz mbH (EuGD) hat bereits eine Webseite für Betroffene ins Netz gestellt. Du kannst dort Ansprüche anmelden, solltest du MotelOne Kunde in den vergangenen Jahren gewesen sein. Die EuGD ist keine Institution der Europäischen Union. Alternativ kannst du wegen DSGVO direkt bei MotelOne Auskunft über deine Daten verlangen.

oeffnungszeiten-2
In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Wochen berichten.

Ransomware News

Nach der MotelOne Misere der letzten Wochen ist es auf den Leakseiten der einzelnen Gruppen ruhig geblieben, zumindest in Bezug auf deutsche Opfer.

Es gab lediglich Meldungen zu Angriffen, die bisher ohne Bekennerschreiben geblieben sind:

  • degenia Versicherungsdienst AG
  • Hochsauerland Wasser (HSW) und Hochsauerland Energie (HE)
  • Hochschule Karlsruhe
  • Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG)

DDoS News

Überlastungsangriffe gab es in der vergangenen Woche natürlich ebenfalls. Durch die Entwicklungen in Israel war der Verlauf hier sehr dynamisch. Anfang der Woche standen unter anderem folgende deutsche Webseiten im Fokus:

  • Deutschsprachige SAP Anwendergruppe e. V.
  • Deutscher Raiffeisenverband e. V.
  • Münchner Verkehrsgesellschaft mbH (MVG)
  • Rhein-Main-Verkehrsverbund GmbH
  • Ver­kehrs­ver­bund Groß­raum Nürn­berg GmbH
  • Bundeszentralamt für Steuern
  • Kölner Verkehrs-Betriebe AG

Dark News

Durch den neuen Konflikt in Israel haben sich die Fronten erneut verschoben. Die Gruppe ThreadSec stellt sich gegen Krieg und hat darum die IT-Infrastruktur von Alpha Net in Gaza lahmgelegt. Angeblich ist ein Großteil der palästinensischen Infrastruktur betroffen. Andere Gruppen wie die Indian Cyber Force haben den Start einer digitalen Offensive gegen Palästina angekündigt und die Webseite der Hamas lahmgelegt.

Quelle: TG

Auf der anderen Seit hat die Gruppe Cyber Av3ngers laut eigenen Angaben den israelischen Netzbetreiber Noga angegriffen, dieser reagierte wiederum mit GeoIp Sperren. Auch die Dorad Power Station in in Ashkelon stand unter DDoS.

Quelle: TG

Die Gruppe Anonymous Sudan griff Anfang der Woche noch Firmen wie Spotify und Co an, schwenkte am Wochenende allerdings komplett auf Israel um. Zusammen mit Gruppen wie AnonGhost Team + Muslim Hackers haben sie das Alarmierungssystem Tzeva Adom bzw. Rote Farbe (Raketenwarnsystem in Südisrael) angeblich zeitweise lahmgelegt und Rafael Advanced Defense Systems (Iron Dome) angegriffen. Auch die Webseite der Jerusalem Post stand unter Beschuss.

Quelle: TG

Die Gruppe Mysterious Team Bangladesh hat sich daran ebenfalls beteiligt und andere Gruppen zum Kampf aufgerufen. Team Herox und Team insane Pakistan haben sich dem bereits angeschlossen. Sogar die prorussische Gruppe KillNet meldet sich dreisprachig zu Wort und droht mit Attacken gegen Israel. Die Gruppe arbeitet nun mit Anonymous Sudan zusammen. Auch die Gruppe UserSec ist bereits aktiv geworden und hat Webseiten des israelischen Geheimdienstes angegriffen.

Auf dem neuen digitalen Schlachtfeld wird sich die nächsten Wochen sicherlich noch einiges bewegen, momentan ist die Lage online wie offline sehr unübersichtlich. Ich kann nur hoffen, dass sich die Lage wieder beruhigt.

schadstoffe-1
Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

23andMe

23andMe ist ein amerikanisches Gen Analyse Unternehmen. Im Untergrundforen ist ein Datensatz mit zig Millionen Einträgen aufgetaucht. Die Firma hat inzwischen vermeldet, dass sie durch Credential Stuffing angegriffen wurden. Dabei sind leider genetische Daten Unbeteiligter in Mitleidenschaft gezogen, da die Plattform das eigene Profil mit verwandten Daten verknüpft und somit Scraping erleichtert.

schulbank-1
Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Fingerprinting Übersicht

TLS-Fingerprinting ist eine Technik, bei der Informationen aus dem TLS-Handshake verwendet werden, um den Typ oder die Implementierung eines TLS-Endpunkts zu identifizieren. In der praktischen Anwendung lassen sich damit bösartige Bots und Strukturen identifizieren. Hierbei sind in den vergangenen Jahren verschiedene Methoden entstanden, daher habe ich für dich einen kleinen Überblick vorbereitet:

JA3 Fingerprinting

Die JA3 Methode stammt aus dem Jahr 2017 und wurde von einem Salesforce Team entwickelt. Das JA3 TLS-Fingerprinting verwendet dazu dasClient Hello des 3 Wege Handshake einer TLS Verbindung. Hierbei lassen sich folgende Parameter für die Berechnung eines Fingerprints extrahieren:

  1. TLS-Version
  2. Cipher Suites
  3. TLS-Erweiterungen
  4. elliptische Kurvenparameter

Die Parameter werden in einer bestimmten Reihenfolge gesammelt und dann gehasht. Durch die unterschiedlichen Kombinationen von Parametern kann der JA3-Fingerabdruck eindeutig zugewiesen werden.

Bsp.:

TLS-Version: TLS 1.3
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Extensions: SNI=explodingsecurity.com, ALPN=h2

Ein Anwendungsfall des Fingerprinting kann unter anderem die Abwehr von bösen Bots sein. Zur Hilfe können Datenbanken wie die SSLblacklist von abuse.ch genommen werden. Dort findest du JA3 Fingerprints zu Botnetzen wie Trickbot oder AsynRAT. Allerdings siehst du, dass diese Listen schon ein paar Tage älter sind.

Neben dem Original von Salesforce existiert ebenfalls eine Rust Hash Library auf Github.

JA3S Fingerprinting

JA3S ist das Fingerprinting Pendant zu JA3 und zwar auf der Serverseite. Hier wird die gleiche passive Methodik auf das Server Hello Paket angewendet.

JARM Fingerprinting

JARM ist eine Weiterentwicklung des serverseitigen Fingerprinting aus dem Jahr 2020. Es wird im Vergleich zur Ja3S aktiv eingesetzt. JARM sendet 10 TLS Client-Hello Pakete an einen Zielserver und zeichnet bestimmte Attribute der TLS-Server-Antworten auf. Die aggregierten TLS-Server-Antworten werden dann gehasht, um den JARM-Fingerabdruck zu erzeugen. Der erzeugte Fingerabdruck setzt sich aus zwei Teilen zusammen. Der vordere Teil (die ersten 30 Zeichen) besteht aus Cipher und TLS Version und der hintere Teil aus einem SHA256 Hash der TLS Erweiterungen, ohne die Zertifikatsdaten.

Quelle: Salesforce

Diese Unterscheidung is sinnvoll, den viele Server haben eine gleiche TLS und Cipher Konfiguration, können aber durch die Erweiterungen unterschieden werden.

Darin liegt einer der Anwendungsfälle von JARM. Du kannst deine eigenen Server auf die gleiche TLS Settings prüfen oder je nach Art gruppieren, genauer gesagt blockieren. Letzteres bietet sich bei Command & Control Servern an.

CYU Fingerprinting

Nun fragst du dich sicher, wie das mit QUIC ist. Da dieses neue Protokoll aus dem Hause Google, was auf UDP anstatt TCP setzt und der klassische 3 Wege Handshake anders abläuft. Praktischerweise existiert auch hier ein Client Hello, was für Fingerprinting genutzt werden kann. Salesforce hat hierfür den GQUIC Protocol Analyzer für Zeek entwickelt, dieser prüft darin die QUIC und diverse Tags (46,PAD-SNI-STK-VER-CCS-NONC-AEAD-UAID-SCID-TCID-PDMD-SMHL-ICSL-NONP-PUBS-MIDS-SCLS-KEXS-XLCT-CSCT-COPT-CCRT-IRTT-CFCW-SFCW), um einen eindeutigen Fingerabdruck (MD5) zu ermitteln.

Hintergrund der Arbeit von Salesforce war das C2 Framework Merlin, welches über QUIC kommuniziert und bisher unsichtbar war.

HASSH Fingerprinting

Da draußen gibt es nicht nur TLS Verbindung, SSH zählt ebenfalls zu den wichtigsten Protokollen. Darum hat Salesforce (ja wieder die) mit HASSH ein Framework entwickelt, um diese Verbindungen in einem MD5 Hash Fingerprint abzubilden. „hassh“ und „hasshServer“ arbeiten nach dem gleichen Prinzip, wie TLS Fingerprints, sie lesen den Klartextbereich aus („SSH_MSG_KEXINIT“) und bilden daraus einen eindeutigen Wert.

Quelle: Github

JA4 Fingerprinting

Falls du bisher nicht ausgestiegen bist und weiterhin Bock auf Fingerabdrücke hast, kommt jetzt etwas Aktuelleres zu dieser Thematik.

JA3 hat einen Nachfolger erhalten, der die Fingerprintingmethode auf einen aktuellen und besseren Stand bringt. FoxIO hat mit dem JA4+ Framework ein ganzes Set zusammengestellt, was es dir erlaubt, die oben genannten Methoden anzuwenden und so deine Infrastruktur besser zu schützen, indem du Übeltäter oder deren Methoden (Malware, DDoS, Hijacking) besser erkennst. Folgende Module werden vom JA4+ Framework bereits angeboten:

JA4 TLS Fingerprinting

Um den Rahmen hier nicht zu sprengen, werde ich kurz auf das JA4 TLS Fingerprinting eingehen. Da die anderen Module ähnlich aufgebaut sind und Infografiken im Repository vorhanden sind, sollte dies ausreichen.

JA4 ist nach dem a/b/c Modell aufgebaut. Im ersten Teil (a) werden Protokoll, SNI und Co erfasst. Der zweite Teil des Fingerabdrucks enthält die Cipher Suites in geordneter Reihenfolge. Im letzten Teil befinden sich die Erweiterungen, ebenfalls sortiert. Der Vorteil dieser gesplitteten Sichtweise liegt auf der Hand. Es erlaubt dir Kombinationen wie ab oder ac.

Beim oben erwähnten JA4 TLS Fingerabdruck, kann zwischen TCP oder QUIC (TLS mit UDP) unterschieden werden. Praktischerweise werden auch die ALPN (Application-Layer Protocol Negotiation) Erweiterungen angezeigt. Im obigen Beispiel ist „h2“ gelistet, was für HTTP/2 over TLS steht.

t (TLS over TCP)
13 (TLS version 1.3)
d (SNI exists so it’s going to a domain)
15 (15 cipher suites ignoring grease)
16 (16 extensions ignoring grease)
h2 (first and last characters of the first ALPN extension value)

Kleiner Hinweis schon mal vorab, wenn kein ALPN mitgegeben wird (00), ist es vermutlich auch kein Browser.

Soviel kurz zu dieser neuen Technik, die einen würdigen Nachfolger von JA3 darstellt. Sie wird allmählich bei diversen IT-Security-Anbietern in die Produkte einfließen, da bin ich mir sicher.

Quelle: Medium

Insgesamt wurde es Zeit, dass JA3 nach Jahren einen Nachfolger erhält. Die neue Methodik ist schon stark, wie ich finde. JA4 ist wie seine Vorgänger Open Source und kann von dir sofort eingesetzt werden. Die anderen Module wie JA4S oder JA4H werden unter der FoxIO License gelistet und können für interne Zwecke verwendet werden. Gerade JA4H ist ebenfalls interessant.

Du findest Details zu allen Arten auf einem Medium Artikel zum JA4+ Framework.

ECH für Firefox und Cloudflare

Als aufmerksamer Leser sagst du dir nach dieser ganzen Fingerprinting-Geschichte möglicherweise „Was ist mit ECH?“

Was ist ECH (Encrypted ClientHello)?

Mozilla Firefox (118) und Cloudflare haben beide in der vergangenen Woche verkündet, Encrypted Client Hello (ECH) freigeschaltet zu haben. ECH ist der Nachfolger von ESNI (Encrypted SNI) und eine Sicherheitsfunktion, um die Privatsphäre der Nutzer besser zu schützen. Im alten Namen liegt hier bereits die Wahrheit. ECH verschlüsselt nichts anderes als den SNI Eintrag im TLS Handshake, genauer gesagt versteckt ihn hinter einer generischen Domain.

Was bringt mit ECH?

Ein Encrypted Client Hello sorgt dafür, dass nur du und der Server weiß, welche Webseite du aufgerufen hast. Dritte sind ab sofort außen vor, auch dein Internetprovider.

Ob ECH genauer gesagt Secure DNS aktiv ist, kannst du direkt bei Cloudflare oder bei tls-ech.dev testen.

Wo ist der Haken?

Beide Seiten müssen ECH unterstützen. Heißt, du kannst zwar im Firefox DNS über HTTPS und ECH anschalten. Allerdings muss auch die Gegenseite diese Technologie unterstützen. Da Cloudflare einen großen Anteil an der Internetinfrastruktur hat, ist ECH nun zumindest bei einem Teil der Webseiten möglich.

Wirkt sich das auf JA4 Fingerprinting aus?

Nein, tut es nicht, da bei ECH nur der SNI Name verschlüsselt wird und die verschiedenen Attribute weiterhin für ein eindeutiges Fingerprinting verwendet werden können.

werkzeugkasten-1
Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Haylxon

Das Tool Haylxon ist ein in Rust geschriebenes Screenshot Tool für das Terminal, nicht mehr und nicht weniger. Es greift auf Chrome Headless zurück, kann mit stdin umgehen und hat eine silent Option.

RedisInsight

Solltest du schon immer mal ein Tool gesucht haben, um deine Redis Datenbank etwas genauer und einfacher unter die Lupe zu nehmen? Dann probiere es doch mal mit RedisInsight. Es ist die offizielle Redis GUI und hat dementsprechend alle Werkzeuge an Bord, die du für eine Untersuchung oder Abfrage brauchst.

ONYPHE

Serversuchmaschinen wie Shodan oder Censys werden immer wieder in Artikeln erwähnt, dabei gibt es mit Onyphe eine europäische Alternative. Die französische Seite spricht Sicherheitsexperten und Forscher an, kann aber auch dem Pentester unter die Arme greifen. Probier es einfach aus, es gibt ein Free Tier, nach einer Anmeldung erhältst du auch API Zugang.

GreyNoise

Da die Suchmaschine GreyNoise Ja4+ integriert, will ich sie hier kurz erwähnen. Anders als Shodan und Co, die versuchen, das gesamte Internet zu scannen, konzentriert sich GreyNoise auf das Hintergrundrauschen der Akteure. Heißt, sie versuchen den Traffic mit Honeypots, die bei vielen großen Providern und Regionen aufgestellt sind, einzufangen.

Der internetweite Scan- und Angriffsverkehr wird gesammelt und analysiert. Daraus entstehen zwei Datensätze, „Noise“ und „Riot“. Der Riot Datensatz enthält legitimen Traffic, von normalen Nutzern. Der Noise Datensatz hingegen enthält Scandaten, den bösartige Akteure verursachen, aber auch Suchmaschinen wie Shodan. Durchsuchen kannst du die Datensätze mit der GreyNoise Query Language (GNQL).

abschluss
Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.