HASSH : 一種新型網路指紋識別標準,可用於識別特定的客戶端和伺服器SSH
前言
今天給大家介紹的是一款名叫“HASSH”的工具。實際上,“HASSH”更像是一種新型的網路指紋識別標準,因為它可以用來識別特定的客戶端或伺服器端SSH的實現方式。由於HASSH在儲存指紋時採用的是MD5指紋,這樣就降低了資料儲存、搜尋和共享的開銷。
HASSH的功能
1、 高度可控制,檢測到任意指紋後會發出警報。 2、 可檢測、控制和調查暴力破解/Cred Stuffing密碼攻擊嘗試。 3、 檢測客戶端演算法集中隱藏的資料提取元件,在這種情況下,特殊編碼的SSH客戶端可以通過受信環境和一系列SSH_MSG_KEXINIT資料包來發送帶外資料,而這些行為或資料傳送嘗試都會被HASSH的分析監控系統捕捉到,並給使用者傳送警報。 4、 配合使用了其他的指標識別工具來檢測網路掃描和橫向滲透活動,可檢測的工具列表包括Paramiko、Powershell、Ruby、Meterpreter和Empire。 5、 與其他使用者共享HASSH中的入侵威脅指標。 6、 建立額外的客戶端應用程式控制層,比如說,你可能需要遮蔽客戶端對SSH伺服器的全部連線等等。 7、 貢獻資料取證資訊,例如IP源等等,但這部分資料可能會受NAT或使用了多個IP源的情況影響。 8、 檢測欺騙性應用程式。 9、 檢測已知HASSH指紋的物聯網嵌入式系統。例如攝像頭、麥克風和鍵盤記錄器等等。
HASSH的工作機制
“hassh”和“hasshServer”採用了通過特定演算法集設計的MD5雜湊結構,目前很多的SSH客戶端以及伺服器端應用程式都支援這樣的架構。這些演算法在初始的TCP三次握手完成之後會進行交換,對應的明文資料包為”SSH_MSG_KEXINIT”訊息,這也是最終加密SSH通道配置的重要組成部分。由於這些演算法的交換順序是唯一的,所以它可以被當做網路指紋並用來識別底層的客戶端以及伺服器端應用程式,而且這樣也避免了通過“Client”或“Server”字串這種表面上的識別因素來判斷底層實現。
工具下載
Hassh:【 ofollow,noindex" target="_blank">GitHub下載地址 】
參考資料
1、 RFC4253-SSH傳輸層協議:【 傳送門 】
2、 Salesforce技術博文:【 傳送門 】
* 參考來源: PentestTools+%28PenTest+Tools%29" rel="nofollow,noindex" target="_blank">kitploit ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM