前言
今天給大家介紹的是一款名叫“HASSH”的工具。實際上,“HASSH”更像是一種新型的網絡指紋識別標準,因為它可以用來識別特定的客戶端或服務器端SSH的實現方式。由於HASSH在存儲指紋時採用的是MD5指紋,這樣就降低了數據存儲、搜索和共享的開銷。
HASSH的功能
1、 高度可控制,檢測到任意指紋後會發出警報。
2、 可檢測、控制和調查暴力破解/Cred Stuffing密碼攻擊嘗試。
3、 檢測客戶端算法集中隱藏的數據提取組件,在這種情況下,特殊編碼的SSH客戶端可以通過受信環境和一系列SSH_MSG_KEXINIT數據包來發送帶外數據,而這些行為或數據發送嘗試都會被HASSH的分析監控系統捕捉到,並給用戶發送警報。
4、 配合使用了其他的指標識別工具來檢測網絡掃描和橫向滲透活動,可檢測的工具列表包括Paramiko、Powershell、Ruby、Meterpreter和Empire。
5、 與其他用戶共享HASSH中的入侵威脅指標。
6、 創建額外的客戶端應用程序控制層,比如說,你可能需要屏蔽客戶端對SSH服務器的全部連接等等。
7、 貢獻數據取證信息,例如IP源等等,但這部分數據可能會受NAT或使用了多個IP源的情況影響。
8、 檢測欺騙性應用程序。
9、 檢測已知HASSH指紋的物聯網嵌入式系統。例如攝像頭、麥克風和鍵盤記錄器等等。
HASSH的工作機制
“hassh”和“hasshServer”採用了通過特定算法集設計的MD5哈希結構,目前很多的SSH客戶端以及服務器端應用程序都支持這樣的架構。這些算法在初始的TCP三次握手完成之後會進行交換,對應的明文數據包為”SSH_MSG_KEXINIT”消息,這也是最終加密SSH信道配置的重要組成部分。由於這些算法的交換順序是唯一的,所以它可以被當做網絡指紋並用來識別底層的客戶端以及服務器端應用程序,而且這樣也避免了通過“Client”或“Server”字符串這種表面上的識別因素來判斷底層實現。
*消息參考:https://www.freebuf.com/sectool/190076.html
閱讀更多 安全週刊 的文章
