https://www.youtube.com/watch?v=qUAY9nUOpoo&feature=youtu.be&t=368s
HASSH可以输出ssh客户端和服务器的指纹,正如JA3提取和识别客户端和服务器之间的TLS协商的指纹。
Corelight research team通过ssh握手,网络流,时间特征,报文大小,和统计学规律来推断ssh内部数据
Corelight的系统可以推断出ssh文件上传/下载,key stroke,端口扫描,暴力破解,认证绕过等动作。
Corelight系统提供以上这些功能,但开源zeek和其packages没有该推断的功能。
业界通过ja3和ja3s来识别勒索软件的横向通信,但目前malware大多通过custom protocol进行通信,他们甚至不需要认证握手,直接交流。
Corelight提出并实现了两种加密检测方式
在标准端口的明文流量(如443端口的明文)
不握手直接通信的加密流量
