Cover
Start nu gratis Lesson 3.pptx
Summary
# Analyse van een "silent smishing" campagne
Dit onderwerp behandelt de analyse van een "silent smishing" campagne die zich richt op mobiele router API's en beschrijft de omvang, doelwitten, methoden en de in Europa waargenomen campagnes.
## 1. Analyse van een "silent smishing" campagne
### 1.1 Introductie tot "silent smishing"
"Silent smishing" verwijst naar een specifieke cyberaanval die misbruik maakt van mobiele router API's om gebruikers te misleiden, vaak zonder directe indicatie van kwaadaardigheid aan de zijde van de gebruiker of netwerkbeheerder. Deze aanvallen maken gebruik van gecompromitteerde of kwetsbare netwerkapparaten om een groter aanvalsoppervlak te creëren.
### 1.2 Omvang en doelwitten van de campagne
#### 1.2.1 Blootgestelde routers
Er is een aanzienlijk aantal Milesight routers, meer dan 18.000, blootgesteld aan het publieke internet. Hiervan zijn 572 routers bevestigd kwetsbaar te zijn vanwege onbevoegde API-toegang.
#### 1.2.2 Geografische focus
De primaire doelwitten van deze campagnes zijn te vinden in:
* België
* Frankrijk
* Zweden
* Italië
#### 1.2.3 Meest getarget land: België
België is het land dat het meest intensief is getarget binnen de waargenomen campagnes.
### 1.3 Methoden en tactieken
#### 1.3.1 Imitatie van legitieme diensten
De aanvallers imiteren bekende en betrouwbare diensten om het vertrouwen van gebruikers te winnen. Voorbeelden van geïmiteerde diensten in België zijn:
* **CSAM (Centre for the Service of Administrative Means):** Het federale authenticatieportaal.
* **eBox:** De digitale brievenbus voor burgers.
#### 1.3.2 Taalgebruik
De phishingberichten en de bijbehorende websites maken gebruik van de lokale talen, in dit geval Nederlands en Frans, om de geloofwaardigheid te verhogen en de doelgroep effectiever te bereiken.
#### 1.3.3 Campagneactiviteit
De actieve periode van deze specifieke campagnes is waargenomen van november 2022 tot juli 2025.
#### 1.3.4 Domeinnamen en hashes
Er zijn diverse domeinnamen geïdentificeerd die verband houden met deze campagne. Enkele voorbeelden zijn:
* `csam[.]xyz`
* `csam-terugbetaling[.]work`
* `csam-trust[.]xyz`
* `ebox[.]help`
* `ebox-login[.]xyz`
Ook zijn specifieke hashes waargenomen, zoals `a09f2124d30b79c2f8521d10000b22cca55b6fc4fd382fbead3ca06ca8f52f17`.
#### 1.3.5 Vaststelling van websites en infrastructuur
Via platforms zoals URLscan.io en Censys is onderzoek gedaan naar de omvang en kenmerken van de campagnestructuur.
* **URLscan-resultaten:** Meer dan 53.000 resultaten zijn geïdentificeerd, waarvan een aanzienlijk deel (5314) niet op Cloudflare IP-adressen wordt gehost. Verdere analyse op basis van IP-adressen en datum heeft geleid tot de identificatie van meer websites.
* **Malafide websites:** Uit de analyse op basis van specifieke IP-ranges en de detectie van malafide verdedigingen, zijn 21 resultaten naar voren gekomen.
* **Censys IP Mapping:** Analyse van specifieke IP-adressen die verband houden met de campagne leverde 33 resultaten op, inclusief virtuele hosts. Een voorbeeld is `csm.terugbetaling.xyz` op IP-adres `185.224.132.13`.
* **Generieke Censys Query's:** Door specifieke servicekenmerken te zoeken, zoals JA4S TLS-fingerprints en JA4X X509-fingerprints, in combinatie met `whois.network.name = "Podaon SIA"`, konden verdere connecties met de infrastructuur worden gelegd. Dit omvatte het zoeken naar services met een specifieke JA4S-fingerprint (`t130200_1302_a56c5b993250`) en JA4X-fingerprint (`a373a9f83c6b_7022c563de38_a7d8059b5276`).
* **Ja4X – X509 (Certificate) fingerprint:** Deze fingerprint, weergegeven als `a373a9f83c6b_7022c563de38_a7d8059b5276`, bevat details over de uitgever, organisatienaam, algemene naam en extensies van een certificaat.
* **Verder analyse van services:** Query's die zochten naar `software.product = "Express"`, specifieke TLS-versies en een "Error" HTML-titel, in combinatie met een `Set-Cookie` header die `connect.sid =s*; Path=/; HttpOnly` bevatte, identificeerden relevante hosts.
* **Analyse van actieve domeinen:** Van de 13 geïdentificeerde domeinen waren er 10 nog steeds actief en reageerden ze op een specifiek pad zoals `/nl/?code=E4FB2D`. Alle 13 domeinen werden toegevoegd aan BAPS.
#### 1.3.6 Netwerk- en TLS-fingerprinting methoden
Verschillende geavanceerde fingerprinting-technieken worden gebruikt om de campagne te analyseren en te identificeren:
* **JA4+ - Network fingerprints:** Dit is een evolutie van eerdere fingerprinting-methoden.
* **JA4S - TLS Server Response Fingerprint:** Meet het TLS-server response gedrag. Een voorbeeld hiervan is `t130200_1302_a56c5b993250`.
* **JA3/JA3S:**
* **JA3:** Genereert een MD5-hash op basis van de TLS-versie, geaccepteerde ciphers, extensies, ondersteunde groepen en elliptic curve formaten in een TLS Client Hello packet. Dit is een krachtige methode om clientapplicaties te detecteren, ongeacht IP- of domeinwijzigingen.
* **JA3S:** Genereert een MD5-hash op basis van de TLS-versie, gekozen cipher, en extensies in een TLS Server Hello packet. Hoewel minder uniek dan JA3 omdat het afhankelijk is van de Client Hello, is het waardevol in combinatie met JA3.
* **Voorbeelden:**
* JA3 voor Tor Client: `e7d705a3286e19ea42f587b344ee6865`
* JA3S voor Tor Server Response: `a95ca7eab4d47d051a5cd4fb7b6005dc`
* JA3 voor Trickbot: `6734f37431670b3ab4292b8f60f29984`
* JA3S voor Trickbot C2 Server Response: `623de93db17d313345d7ea481e7443cf`
* JA3 voor Emotet: `4d7a28d6f2263ed61de88ca66eb011e3`
* JA3S voor Emotet C2 Server Response: `80b3a14bccc8598a1f3bbe83e71f735f`
* **JA4X – X509 (Certificate) fingerprint:** Biedt een gedetailleerde fingerprint van TLS-certificaten.
* **JA4 - TLS Client Fingerprint (a_b_c format):** Deze fingerprint is ontworpen om actoren te traceren, zelfs wanneer ze hun TLS-ciphers wijzigen. De a- en c-delen van de fingerprint blijven constant, waardoor identificatie mogelijk is.
* **JA4H: HTTP Client Fingerprint:** Focust op HTTP-verkeer en is nuttig in omgevingen waar TLS wordt beëindigd of waar het verkeer niet versleuteld is. Het kan onderscheid maken tussen menselijk interactief verkeer en bots.
* **JA4L/JA4LS - JA4 Latency (Server):** Meet de latentie tussen handshakes bij sessie-opbouw om de werkelijke locatie van verkeer te bepalen. Dit werkt ook over UDP.
* **TCP JA4L-C / JA4L-S:** Gebaseerd op de TCP 3-weg handshake.
* **QUIC JA4L-C / JA4L-S:** Gebaseerd op de QUIC handshake.
* **JA4SSH: SSH Traffic Fingerprint:** Specifiek voor het fingerprinten van SSH-verkeer.
* **JA4T: TCP Fingerprinting:** Ontworpen om ongebruikelijke netwerkomstandigheden te markeren en te dienen als pivotpunt voor analyse. Het kan helpen bij het identificeren van besturingssystemen, tussenliggende proxies, VPN's en tunneling.
* **JARM – “Just a random Mirror”:** Een verbeterde server fingerprinting methode die 10 speciaal opgestelde TLS Client Hello-pakketten gebruikt om unieke serverreacties te verkrijgen. De fingerprint is 62 tekens lang: de eerste 30 tekens vertegenwoordigen de gekozen cipher en TLS-versie voor elk van de 10 verbindingen, en de resterende 32 tekens zijn een afgekorte SHA256-hash van cumulatieve extensies. JARM is effectief in het groeperen van servers op basis van configuratie, identificeren van standaardapplicaties en opsporen van malafide C2-infrastructuur.
#### 1.3.7 TLS-handshake en fingerprinting details
De TLS-onderhandeling vindt plaats in meerdere stappen, waarbij de details van de **Client Hello** en **Server Hello** pakketten cruciaal zijn voor fingerprinting.
* **Client Hello:** Bevat informatie over de ondersteunde TLS-versies, cipher suites, sessie-ID, compressiemethoden en extensies. De structuur is gedefinieerd als:
```latex
struct {
ProtocolVersion client_version;
Random random;
SessionID session_id;
CipherSuite cipher_suites<2..2^16-1>;
CompressionMethod compression_methods<1..2^8-1>;
Extension client_hello_extension_list<0..2^16-1>;
} ClientHello;
```
* **Server Hello:** De server kiest de nieuwste compatibele TLS-versie en cipher suite uit de lijst van de client en stuurt deze terug, samen met de sessie-ID, gekozen cipher suite, compressiemethode en eventuele extensies. De structuur is:
```latex
struct {
ProtocolVersion server_version;
Random random;
SessionID session_id;
CipherSuite cipher_suite;
CompressionMethod compression_method;
Extension server_hello_extension_list<0..2^16-1>;
} ServerHello;
```
* **Server Key Exchange:** Bevat het publieke sleutelcertificaat en de handtekening van de server, gevolgd door Server Hello done.
* **Client Key Exchange:** De client genereert een tijdelijke sessiesleutel, versleutelt deze met de publieke sleutel van de server, en stuurt deze. Alleen de server met de bijbehorende privésleutel kan deze decrypten.
* **Change Cipher Spec:** Beide partijen sturen dit bericht om aan te geven dat alle volgende records worden beschermd met de nieuw onderhandelde cipher suite en sleutels.
* **Encrypted Handshake:** De client en server wisselen versleutelde berichten uit om de correctheid van de sleutelinformatie te bevestigen, waarna de HTTPS-verbinding wordt geopend (zichtbaar als een groen slotje in de browser).
**Tip:** De details in het TLS Client Hello-pakket, zoals OS-builds, pakketten, bibliotheken en zelfs procesattributies, kunnen worden gebruikt om clientapplicaties te fingerprinten. Server Hello-details kunnen informatie onthullen over het OS, serverbibliotheken en aangepaste configuraties.
#### 1.3.8 JA4 en de "Pyramid of Pain"
* **JA4** is een bredere fingerprinting-standaard die verschillende protocollen omvat.
* De **Pyramid of Pain** (van Richard Bejtlich) plaatst **Certificaten (x509)** op de laag van "Network/Host Artifacts". Andere TLS-artefacten, zoals client- en server hello berichten, kunnen echter worden geclassificeerd als "Tools", waardoor ze op een hoger niveau in de piramide komen te staan. Dit omvat technieken zoals JA3, JA3S, JA4+ en JARM.
### 1.4 Observaties en implicaties
#### 1.4.1 Identificatie van de campagne-uitvoerders
* **Censys Query's:** Specifieke Censys-query's, die zoeken naar combinaties van JA4S-fingerprints, JA4X-fingerprints en de organisatienaam `Podaon SIA` in WHOIS-data, wijzen op een specifieke groep achter deze campagne.
* **Certificaatanalyse:** De analyse van certificaten, met name de JA4X-fingerprint `a373a9f83c6b_7022c563de38_a7d8059b5276`, helpt bij het identificeren van de uitgevende instantie en de structuur van de certificaten die door de aanvallers worden gebruikt.
#### 1.4.2 Analyse van de infrastructuur
* **Virtuele hosts en IP-adressen:** Censys-zoekopdrachten die zich richten op virtuele hosts en specifieke IP-adressen, in combinatie met de kenmerken van de services die erop draaien, onthullen de omvang van de aanvalsdragers.
* **Vergelijking van JARM-fingerprints:** Het vergelijken van JARM-fingerprints tussen verschillende servers kan helpen bij het detecteren van kwetsbare instanties of het vergelijken van phishing-sites met legitieme sites. Het kan ook worden gebruikt om servers van verschillende organisaties te groeperen op basis van hun TLS-configuratie.
#### 1.4.3 Huidige status en aanbevelingen
* **Nog online:** Een aanzienlijk deel van de geïdentificeerde domeinen blijft actief, wat duidt op een voortdurende dreiging.
* **Gebruik van BAPS:** De toevoeging van verdachte domeinen aan systemen zoals BAPS (BlackICE Anti-Phishing Service) helpt bij het monitoren en blokkeren van malafide activiteiten.
* **Verdere analyse:** De toepassing van JA4-fingerprinting methoden, met name JA4T voor TCP-verkeer en JARM voor server-TLS-configuraties, is cruciaal voor effectieve threat hunting en het identificeren van verdachte infrastructuren.
**Tip:** JA4 en JARM zijn krachtige tools voor het detecteren van malafide infrastructuren. Houd er rekening mee dat vals-positieven mogelijk zijn en dat deze methoden het beste worden gebruikt in combinatie met andere indicatoren, zoals de geschiedenis van serverconfiguraties.
---
# Netwerk fingerprintingstechnieken
Hier volgt een gedetailleerd studiemateriaal over netwerk fingerprintingstechnieken, gebaseerd op de verstrekte documentatie.
## 2. Netwerk fingerprintingstechnieken
Dit onderdeel behandelt diverse geavanceerde technieken voor het identificeren en categoriseren van netwerkverbindingen en TLS-verkeer, inclusief hun methodologie, toepassingen en rol in cyberbeveiliging.
### 2.1 Algemene principes van netwerk fingerprinting
Netwerk fingerprinting omvat technieken om unieke kenmerken van netwerkapparaten, toepassingen of protocollen te identificeren en te classificeren. Deze technieken zijn cruciaal voor het begrijpen van netwerkverkeer, het opsporen van kwaadaardige activiteiten en het verbeteren van de beveiliging.
> **Tip:** Het fundamentele idee achter fingerprinting is dat elke entiteit een uniek "vingerafdruk" achterlaat in de manier waarop deze communiceert via het netwerk.
### 2.2 Fingerprinting van TLS-verkeer
Een significant deel van de moderne netwerkcommunicatie maakt gebruik van Transport Layer Security (TLS) voor encryptie. Hoewel de inhoud van de communicatie versleuteld is, bevat het TLS-handshake-proces informatie die kan worden gebruikt voor fingerprinting. De TLS-onderhandeling vindt plaats in de openbaarheid, waardoor het mogelijk is om clientapplicaties en serverconfiguraties te identificeren.
#### 2.2.1 De TLS-handshake: Client Hello en Server Hello
De TLS-handshake bestaat uit meerdere stappen die informatie onthullen over de client en de server.
* **Client Hello:** De client initieert de communicatie door een `ClientHello`-bericht te sturen. Dit bericht bevat onder andere:
* De ondersteunde TLS-versies.
* De ondersteunde cipher suites.
* Een lijst met extensies die de client kan gebruiken.
* Informatie over compressiemethoden.
De structuur van een `ClientHello`-bericht kan als volgt worden weergegeven in pseudocode:
```latex
struct {
ProtocolVersion client_version;
Random random;
SessionID session_id;
CipherSuite cipher_suites<2..2^16-1>;
CompressionMethod compression_methods<1..2^8-1>;
Extension client_hello_extension_list<0..2^16-1>;
} ClientHello;
```
* **Server Hello:** De server reageert met een `ServerHello`-bericht. Hierin selecteert de server de meest recente TLS-versie en cipher suite die zowel door de client als de server worden ondersteund.
De structuur van een `ServerHello`-bericht:
```latex
struct {
ProtocolVersion server_version;
Random random;
SessionID session_id;
CipherSuite cipher_suite;
CompressionMethod compression_method;
Extension server_hello_extension_list<0..2^16-1>;
} ServerHello;
```
* **Server Key Exchange en Server Hello Done:** Na de `ServerHello` kan de server aanvullende informatie sturen, zoals het publieke deel van de servercertificaat en de publieke sleutel. De `Server Hello Done` markeert het einde van de serverhandshake.
* **Client Key Exchange, Change Cipher Spec en Encrypted Handshake:** De client stuurt vervolgens de sessiesleutel, versleuteld met de publieke sleutel van de server. Beide partijen wisselen `Change Cipher Spec`-berichten uit om aan te geven dat verdere communicatie versleuteld zal zijn, gevolgd door een versleutelde handshake om de sleutelinformatie te bevestigen.
#### 2.2.2 JA3 en JA3S: TLS Client en Server Fingerprints
JA3 is een methode om de TLS Client Hello van een client applicatie te fingerprinten. JA3S doet hetzelfde voor de Server Hello van een server.
* **JA3 Fingerprint:**
* De JA3 fingerprint wordt berekend op basis van de `ClientHello`-packet.
* Het extraheert de TLS-versie, de ondersteunde cipher suites, de extensies, de ondersteunde groepen en de elliptic curve formaten.
* De decimale waarden van de bytes van deze velden worden geconcateneerd volgens een specifieke methode.
* Het eindresultaat wordt gehasht met MD5 voor efficiëntie en deelbaarheid.
* **Formuleconcept:** `$JA3 = MD5( TLSVersion, Ciphers, Extensions, EllipticCurves, EllipticCurvePointFormats )$`
* JA3 is effectief voor het detecteren van malafide activiteiten, ongeacht het gebruik van Domain Generation Algorithms (DGA) of IP-adressen, omdat het de clientapplicatie zelf identificeert.
* **JA3S Fingerprint:**
* De JA3S fingerprint wordt berekend op basis van de `ServerHello`-packet.
* Het gebruikt vergelijkbare gegevens als JA3 (TLS-versie, ciphers, extensies).
* **Formuleconcept:** `$JA3S = MD5( TLSVersion, Cipher, Extensions )$`
* Aangezien de `ServerHello` afhankelijk is van de `ClientHello`, is JA3S minder uniek dan JA3, maar nog steeds waardevol in combinatie met JA3. Het is vooral nuttig voor honeypots en kan helpen bij het identificeren van kwaadaardige serverreacties.
> **Tip:** JA3 is vergelijkbaar met de `User-Agent` string van een browser, maar dan voor TLS-verkeer. Dit betekent dat er false positives kunnen optreden als verschillende applicaties dezelfde fingerprint genereren.
#### 2.2.3 JA4: Een evolutie in fingerprinting
JA4 is een verbeterde fingerprintingmethode die tot doel heeft de beperkingen van JA3 te overwinnen, zoals "cipher stunting" (het randomiseren van de volgorde van ciphers) en het randomiseren van extensies.
* **JA4 Structuur:** Een JA4 fingerprint heeft het formaat `a_b_c`, waarbij elke component afzonderlijk kan worden geanalyseerd.
* **JA4+ - TLS Client Fingerprint:** Deze versie richt zich op de `Client Hello` en kan actoractiviteit traceren, zelfs wanneer de volgorde van ciphers en extensies wordt gewijzigd. Het identificeert de `a` en `c` componenten die stabiel blijven, terwijl `b` kan variëren. Dit maakt het mogelijk om een actor te volgen via de `JA4_ac` fingerprint.
* **JA4H - HTTP Client Fingerprint:** Deze fingerprint wordt gegenereerd op basis van HTTP-verzoeken. Het is vooral nuttig in omgevingen waar TLS wordt beëindigd (proxies, load balancers) of waar verkeer ongeëncrypteerd is (bijvoorbeeld malware die geen TLS gebruikt).
* `JA4H_ab`: Vingerafdruk van de applicatie op basis van de gebruikte HTTP-methode. Een gebrek aan `Accept-Language` kan duiden op een bot.
* `JA4H_c`: Vingerafdruk van cookies, identiek voor dezelfde website of applicatie.
* `JA4H_d`: Vingerafdruk van de gebruiker, uniek per gebruiker, wat helpt bij GDPR-compliant tracking.
* **JA4L/JA4LS - JA4 Latency:** Deze metingen gebruiken de latentie tussen handshakes tijdens sessie-opbouw om de geografische locatie van verkeer te bepalen. Het werkt zowel over TCP als UDP.
* **TCP JA4L-C/S:** Gebaseerd op de TCP 3-way handshake en de TTL.
* `$JA4L-C = \{(C-B)/2\}\_\text{Client TTL}$`
* `$JA4L-S = \{(B-A)/2\}\_\text{Server TTL}$`
* **QUIC JA4L-C/S:** Gebaseerd op de QUIC handshake en de TTL.
* `$JA4L-C = \{(D-C)/2\}\_\text{Client TTL}$`
* `$JA4L-S = \{(B-A)/2\}\_\text{Server TTL}$`
* **JA4SSH - SSH Traffic Fingerprint:** Een fingerprint specifiek voor SSH-verkeer, die een a_b_c formaat gebruikt.
* **JA4T - TCP Fingerprinting:** Deze techniek is ontworpen om ongebruikelijke netwerkomstandigheden te belichten en te worden gebruikt als pivotpunt voor analyse. Het kan helpen bij het identificeren van besturingssystemen, tussenliggende proxies, VPN's, load balancers en tunneling. Het maakt gebruik van de kenmerken van de TCP 3-way handshake en de manier waarop verbindingen worden gesloten (FIN ACK).
> **Voorbeeld:** JA4T kan helpen onderscheid te maken tussen mobiele netwerken en gedetailleerde TCP-verkeerskenmerken door de responsen op een reeks TCP-pakketten te analyseren.
#### 2.2.4 JARM: Verbeterde Server Fingerprinting
JARM (Just a random Mirror) is een methode om TLS-serverconfiguraties zeer gedetailleerd te fingerprinten door gebruik te maken van tien speciaal ontworpen TLS Client Hello-pakketten.
* **JARM Mechanisme:**
* Het verstuurt tien `Client Hello`-pakketten met variërende TLS-versies, ciphers en extensies.
* Het analyseert de reacties van de server om te zien welke TLS-versies en ciphers deze ondersteunt en selecteert.
* Het resultaat is een 62-karakter lange fingerprint.
* **JARM Fingerprint Structuur:**
* De eerste 30 karakters vertegenwoordigen de gekozen cipher suite en TLS-versie voor elk van de tien `Client Hello`-verzoeken. Een `000` geeft aan dat de server weigerde te onderhandelen.
* De resterende 32 karakters zijn een afgekorte SHA256-hash van de cumulatieve extensies die door de server zijn gestuurd, met uitzondering van X.509-certificaatgegevens.
* **Toepassingen van JARM:**
* Verifiëren van consistente TLS-configuraties over een groep servers.
* Identificeren van kwetsbare instanties en vergelijken van phishing-sites met legitieme sites.
* Groeperen van servers op basis van hun configuratie (bijvoorbeeld identificeren van Google- of Apple-servers).
* Identificeren van standaard applicaties of infrastructuur.
* Detecteren van malafide command-and-control (C2) infrastructuur.
> **Tip:** Hoewel JARM zeer effectief is, kunnen false positives optreden. Combineer JARM-gegevens met andere karakteristieken en analyseer de geschiedenis van een server voor hogere nauwkeurigheid. Legitieme servers veranderen hun configuratie doorgaans niet frequent.
#### 2.2.5 Certificaat Fingerprinting (X.509)
X.509-certificaten bevatten ook unieke informatie die kan worden gebruikt voor fingerprinting. Deze bevinden zich op de laag "Netwerk/Host Artifacts" in de "Pyramid of Pain".
* **JA4X - X509 (Certificate) fingerprint:** Deze fingerprint extraheert specifieke informatie uit het certificaat, zoals:
* Issuer details (land, organisatie, common name).
* Subject details (common name).
* Extensies van het certificaat (Authority Key Identifier, Subject Key Identifier, Key Usage, Basic Constraints, Extended Key Usage, Certificate Policies, Authority Information Access, Certificate Transparency SCTs, Subject Alternative Name).
* De structuur is `a373a9f83c6b_7022c563de38_a7d8059b5276`, waarbij elk deel specifieke certificaatinformatie vertegenwoordigt.
### 2.3 Toepassingen en belang in cyberbeveiliging
Netwerk fingerprintingtechnieken, waaronder JA3, JA4 en JARM, spelen een cruciale rol in cyberbeveiliging:
* **Malware Detectie:** Identificeren van C2-servers en kwaadaardige clientapplicaties, ongeacht hoe ze zich proberen te verbergen.
* **Threat Hunting:** Opsporen van onbekende of verdachte netwerkactiviteiten door afwijkingen in fingerprints te identificeren.
* **Asset Management en Inventarisatie:** Gedetailleerd inzicht krijgen in de gebruikte software en apparaten in een netwerk.
* **Compliance en Auditing:** Verifiëren of de netwerkinfrastructuur voldoet aan de gestelde eisen.
* **Incident Response:** Snel identificeren van betrokken systemen en de aard van de bedreiging.
* **Groepering van Actoren:** Identificeren van gemeenschappelijke kenmerken van bekende threat actors, zelfs als ze hun infrastructuur veranderen.
* **Locatie Tracking:** Bepalen van de geografische oorsprong van netwerkverkeer.
* **Bescherming tegen DDoS-aanvallen:** Identificeren van botnets door hun communicatiepatronen.
> **Voorbeeld:** Door gebruik te maken van JA4H, kan een beveiligingsteam een bot detecteren dat zich voordoet als een legitieme gebruiker door het gebrek aan een `Accept-Language` header in de HTTP-requests te identificeren.
De continue ontwikkeling van deze technieken, zoals de overgang van JA3 naar JA4, toont de evoluerende aard van netwerkbeveiliging en de noodzaak om geavanceerde methoden te blijven gebruiken om bedreigingen te identificeren.
---
## Veelgemaakte fouten om te vermijden
- Bestudeer alle onderwerpen grondig voor examens
- Let op formules en belangrijke definities
- Oefen met de voorbeelden in elke sectie
- Memoriseer niet zonder de onderliggende concepten te begrijpen
Glossary
| Term | Definition |
|------|------------|
| Smishing | Een vorm van phishing die gebruikmaakt van sms-berichten (short message service) om slachtoffers te misleiden tot het delen van gevoelige informatie of het downloaden van malware. |
| API (Application Programming Interface) | Een set regels en protocollen die applicaties gebruiken om met elkaar te communiceren. Kwetsbaarheden in API's kunnen toegang bieden tot systemen of data. |
| Cyber Threat Intelligence (CTI) | Informatie over bestaande of opkomende bedreigingen en bedreigingsactoren die gebruikt kan worden om proactief beveiligingsmaatregelen te nemen en de verdediging te versterken. |
| CSAM | Verwijst naar de Belgische federale overheidsinstantie die verantwoordelijk is voor de elektronische identiteit en digitale diensten, waaronder het federale authenticatieportaal. |
| eBox | Een digitaal postvak dat door de Belgische overheid wordt gebruikt om burgers en bedrijven veilig te communiceren en officiële documenten te ontvangen. |
| URLscan | Een online tool die wordt gebruikt om websites te scannen, te analyseren en te categoriseren op basis van hun inhoud, gedrag en potentiële risico's. |
| TLP:AMBER+STRICT | Een informatie-classificatiemethode die aangeeft dat de informatie strikt geheim is en alleen mag worden gedeeld met specifieke, vertrouwde partijen en alleen voor beperkte doeleinden. |
| IP (Internet Protocol) | Het protocol dat wordt gebruikt voor het adresseren en routeren van data over het internet. Elk apparaat dat is verbonden met het internet heeft een uniek IP-adres. |
| JA4S (TLS Server Response Fingerprint) | Een fingerprintmethode die de TLS-serverrespons analyseert om unieke kenmerken van de server te identificeren, nuttig voor het detecteren van specifieke configuraties of kwaadaardige servers. |
| JA3 (TLS Client Fingerprint) | Een fingerprintmethode die de TLS-client-hello-pakketten analyseert om unieke kenmerken van de clientapplicatie te identificeren, waardoor malware en specifieke software kunnen worden gedetecteerd. |
| TLS (Transport Layer Security) | Een cryptografisch protocol dat zorgt voor veilige communicatie over een computernetwerk. Het versleutelt data en verifieert de identiteit van de communicerende partijen. |
| ALPN (Application-Layer Protocol Negotiation) | Een TLS-extensie die de client en server in staat stelt om te onderhandelen over het applicatieprotocol dat na de TLS-onderhandeling zal worden gebruikt, zoals HTTP/2 of HTTP/1.1. |
| X.509 Certificaat | Een digitaal certificaat dat publieke sleutelinformatie bevat en wordt gebruikt om de identiteit van een entiteit (zoals een website of server) te verifiëren tijdens TLS-handshakes. |
| JA4X (X509 Certificate Fingerprint) | Een methode om digitale X.509-certificaten te fingerprinten door specifieke kenmerken van het certificaat te analyseren, zoals de issuer, het subject en extensies. |
| JA4H (HTTP Client Fingerprint) | Een fingerprintmethode die HTTP-clients analyseert op basis van hun verzoeken, zoals headers, cookies en HTTP-methoden, om bots, applicaties of specifieke gebruikers te identificeren. |
| JA4L/JA4LS (JA4 Latency) | Meet de latentie tijdens de TLS-handshake om de fysieke locatie van verkeer op het internet te bepalen. Het kan worden gebruikt om de ware bron van verkeer te schatten. |
| JA4T (TCP Fingerprinting) | Een methode om TCP-verbindingen te fingerprinten door de kenmerken van de TCP 3-weg handshake te analyseren, wat helpt bij het identificeren van besturingssystemen, netwerkapparaten en tunneling. |
| JARM (Just a Random Mirror) | Een geavanceerde fingerprintingstechniek die 10 speciaal ontworpen TLS Client Hello-pakketten gebruikt om unieke TLS-serverreacties te genereren, waardoor serverconfiguraties en malafide infrastructuren kunnen worden geïdentificeerd. |
| Pyramid of Pain | Een concept dat de niveaus van indicatoren voor bedreigingen toont, van de minst tot de meest kostbare om te omzeilen voor aanvallers, variërend van hash-waarden tot TTP's (Tactics, Techniques, and Procedures). |