Salesforce的开发人员已经开源的内部安全扫描仪
CRM软件和云服务提供商Salesforce已成为JARM指纹工具开源,允许用户识别和分组恶意服务器。
团队说,运输层安全性(TLS)服务器指纹工具可以快速验证组中的所有服务器是否具有相同的TLS配置。
它还可以通过配置在Internet上分组不同的服务器 - 例如,确定服务器可能属于Google或Apple。
JARM还可以识别默认应用程序或基础架构恶意软件Internet上的命令和控制(C2)基础架构和其他恶意服务器。
Salesforce威胁检测主任John Althouse表示:“我们发布了这些工具,不仅可以提高自己的安全姿势,而且希望其他组织的姿势。”每日swbeplay2018官网ig。
“ JARM是一项技术,不仅对于安全分析师和威胁猎人来说都是有价值的,可以帮助识别潜在的恶意服务器,还可以网络和系统工程师,以验证基础架构TLS配置。”
致电和响应
JARM通过主动将10个TLS“客户端Hello”数据包发送到目标TLS服务器来起作用。这些数据包已被选中以在TLS服务器中提示独特的响应,其中包含不同的TLS版本,密码和不同订单的扩展程序,以收集独特的响应。
它捕获了TLS“服务器Hello”响应的特定属性,这些响应取决于应用程序或服务器的构建方式 - 使用的操作系统,所使用的库,称为库的顺序以及自定义配置。
“所有这些因素都导致每个TLS服务器都以独特的方式做出响应。因素的组合使不同组织部署的服务器不太可能具有相同的响应。”该团队说。
你可能还喜欢浏览指纹“现在在网络上比以往任何时候都更普遍”beplay体育能用吗
然后,使用可逆和不可逆的哈希算法的组合将汇总的TLS服务器响应进行哈希响应,以产生62个字符的指纹。
前30个字符由服务器为10个客户端选择的每个Cipher和TLS版本组成 - “ 000”表示服务器拒绝与该客户端Hello进行协商。
其余32个字符是服务器发送的累积扩展的截断SHA256哈希,忽略了X509证书数据。
识别恶意服务器
“在比较JARM指纹时,如果前30个字符相同,但最后32个字符不同,则意味着服务器具有非常相似的配置,接受相同的版本和密码,尽管给定扩展程序不完全相同,但不完全相同。团队说。
这些指纹可用于识别为恶意软件配置的恶意C2服务器,例如Trickbot,Asyncrat,Metasploit,Cobalt Strike和Merlin。
当从列表中扫描Trickbot恶意软件C2时虐待,例如,列表中80%的实时IP产生了相同的JARM指纹。
该团队说,当将这种JARM指纹与Alexa前一百万个网站进行比较时,没有重叠。beplay体育能用吗
“最初的反馈非常积极。JARM已经集成到几种安全供应商产品中,以提高相关功能。” Althouse说。
“我们还收到了几个组织的反馈,这些反馈使他们更容易跟踪特定的僵尸网络。”