Инженеры Salesforce сделали инструмент кибербезопасности JARM открытым исходным кодом, позволяющим пользователям идентифицировать вредоносные серверы, такие как инфраструктура malware command and control (C2), размещенная в Интернете.
Этот инструмент доступен в репозитории открытого исходного кода Github и написан на языке Python.
Он использует Transport Layer Security (TLS) для сбора информации о пакетах приветствия сервера протокола шифрования, отправляемых в ответ на запросы клиентов для установления безопасных сеансов передачи данных.
Ответы на пакеты приветствия сервера TLS могут включать операционную систему и версию, используемые библиотеки и их версии, порядок их вызова и информацию о пользовательской конфигурации.
Отправляя 10 пакетов приветствия клиента TLS на целевые серверы и агрегируя полученные ответы, JARM производит уникальные отпечатки пальцев для конкретных сканируемых хостов.
Уникальные отпечатки пальцев могут быть использованы для идентификации вредоносных серверов C2, настроенных для вредоносных программ, таких как Trickbot, AsyncRAT, Metasploit, Cobalt Strike и Merlin.
Они также могут быть использованы для быстрой проверки того, что все определенные серверы в группе имеют одинаковую конфигурацию TLS, а также для идентификации приложений и инфраструктуры по умолчанию.
Разрозненные серверы в Интернете также можно сгруппировать по конфигурации, чтобы определить, принадлежат ли они таким организациям, как Google, Salesforce или Apple.
Этот инструмент также можно использовать для построения упреждающих списков блоков.
«Например, исследователь кибербезопасности или компания могут сканировать Интернет с помощью JARM, соотносить известные результаты JARM с историей домена и IP-адреса и репутацией вместе с деталями сертификата, чтобы создать высокоточный блок-лист», — пишут разработчики.
«Это позволяет индустрии кибербезопасности перейти к возможности программно создавать высокоточные блок-листы еще до того, как будет распространена первая часть вредоносного ПО, что впервые за долгое время ставит субъектов угроз в оборонительное положение.»
JARM назван в честь разработчиков, которые его написали: Джон Олтхауз, Эндрю Смарт, R J Nunnally и Майк Брэди.
Такие инструменты, как JARM, которые идентифицируют сетевой трафик, имеют этические соображения, как указывали авторы аналогичного приложения NFStream.
«Как и с любым инструментом мониторинга пакетов, NFStream потенциально может быть использован неправильно. Не запускайте его ни в одной сети, владельцем или администратором которой вы не являетесь», — писали авторы NFStream.