【技术向】基于jarm的Tor中继节点远程识别 – 作者:星河工业安全

一.  JARM简介

JARM是一个TLS服务器指纹识别工具,使用JARM扫描可以识别和分组Internet上的恶意服务器。

JARM指纹用途

  • 快速验证组中的所有服务器都具有相同的TLS配置。

  • 根据配置对互联网上的不同服务器进行分组,例如,标识服务器可能属于谷歌(Google)、Salesforce和苹果(Apple)。

  • 识别默认的应用程序或基础结构。

  • 识别Internet上的恶意软件命令和控制基础结构以及其他恶意服务器。

TLS服务器工作原理

TLS服务器根据TLS客户端Hello数据包中收到的详细信息来制定其Server Hello数据包。根据给定客户端Hello的构建方式,为任何给定的Client Hello配制Server Hello的方式可能会有所不同,包括:

  • 操作系统

  • 操作系统版本

  • 使用哪些库

  • 使用的库的版本

  • 调用库的顺序

  • 自定义配置

所有这些因素导致每个TLS服务器以独特的方式进行响应。因素的组合使得不同组织部署的服务器不太可能具有相同的响应。

JARM工作原理

JARM通过主动向目标TLS服务器发送10个TLS客户端Hello数据包并捕获TLS Server Hello响应的特定属性来工作。

然后,以特定方式对聚合的TLS服务器响应进行哈希处理,以生成JARM指纹。

JARM指纹哈希是一种混合模糊哈希,它结合使用可逆和不可逆哈希算法来生成62个字符的指纹。

前30个字符由服务器为发送的10个客户端问候中的每一个选择的密码和TLS版本组成。“000”表示服务器拒绝与该客户端问好协商。剩下的32个字符是服务器发送的累积扩展名的截断SHA256哈希,忽略了x509证书数据。

比较JARM指纹时,如果前30个字符相同,但后32个字符不同,则这意味着服务器具有非常相似的配置,接受相同的版本和密码,但是由于扩展名不同而并非完全相同。

图片

二. Tor中继节点远程识别

Tor是实现匿名通信的自由软件,其名源于“The Onion Router”(洋葱路由器)的英语缩写。用户可透过Tor接达由全球志愿者免费提供,包含7000多个中继节点的覆盖网络,从而实现隐藏用户真实地址、避免网络监控及流量分析的目的。

均运行相同TLS配置的一组应用程序服务器应具有相同的JARM指纹。可以定期使用JARM扫描机群,以确认它们是否相同。

如果机群中的服务器产生的JARM指纹不同于其他服务器,则说明该服务器未运行相同的配置。

因此,我们可以利用服务器的jarm指纹发现是否存在运行TLS实现的非标准中继,通过jarm指纹匹配发现新的Tor中继节点。对某个Tor中继节点扫描得到jarm指纹结果如下所示:

图片

图片

我们使用jarm对dan.me.uk/tornodes上的8863个Tor节点进行了扫描,有2473个节点没有相应,数量前5位的jarm哈希如下所示:

Jarm hash 数量
2ad2ad16d2ad2ad00042d42d000000332dc9cd7d90589195193c8bb05d84fa 2219
2ad2ad16d2ad2ad22c42d42d000000d342d5966a57139eeaff9f8bc4841b25 1982
2ad2ad16d2ad2ad22c2ad2ad2ad2adce2e4c8c53174ecbf5529ce7584d5518 862
2ad2ad0002ad2ad00042d42d000000020120996177a65431cde640fa58d2e8 680
2ad2ad16d2ad2ad22c2ad2ad2ad2ad930c599f185259cdd20fafb488f63f34 350

可以看到这些Tor中继节点中存在大量jarm指纹相同的节点。

虽然jarm本身还不足以识别Tor节点,但是可以使用jarm快速地筛选整个互联网范围的扫描主机,然后应用其余的检查来确定给定主机成为Tor节点的可能性。

参考链接

https://engineering.salesforce.com/easily-identify-malicious-servers-on-the-internet-with-jarm-e095edac525a

https://chaos.institute/fingeprinting-tor-relays-with-jarm/

来源:freebuf.com 2021-04-15 14:43:40 by: 星河工业安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论