Estándar de fingerprinting de red que se puede utilizar para identificar implementaciones específicas de SSH de cliente y servidor
 |
HASSH es un estándar de fingerprinting de red que se puede utilizar para identificar implementaciones específicas de SSH de cliente y servidor. Las huellas digitales se pueden almacenar, buscar y compartir fácilmente en forma de huella digital MD5.
En qué puede ayudar HASSH:
- En entornos altamente controlados, donde cualquier huella digital extraña, fuera de un conjunto de huellas conocido sea sospechosas.
- Es posible detectar, controlar e investigar la fuerza bruta o los intentos de contraseña a un nivel más alto que la Fuente IP, que puede verse afectada por NAT o un comportamiento similar a la botnet. El hassh será una característica de la implementación específica del software del Cliente que se esté utilizando, incluso si la IP tiene NAT de manera que sea compartida por muchos otros clientes SSH.
- Detecte la filtración encubierta de datos dentro de los componentes de los conjuntos de algoritmos del Cliente. En este caso, un Cliente SSH especialmente codificado puede enviar datos salientes de un entorno confiable a uno menos confiable dentro de una serie de paquetes “SSH_MSG_KEXINIT”. En un escenario similar a la filtración más conocida a través de DNS, los datos podrían enviarse como una serie de conexiones intentadas, pero incompletas y no registradas, a un servidor SSH controlado por ciberdelicunetes que luego pueden grabar, decodificar y reconstituir estos datos en su original formar. Hasta ahora, tales intentos, mucho menos el contenido de los paquetes de texto sin cifrar, no han sido registrados ni siquiera por analizadores de paquetes maduros ni en sistemas de punto final. La detección de este estilo de filtración ahora se puede realizar fácilmente mediante la detección de anomalías o alertas en clientes SSH con múltiples hassh diferentes.
- Úselo junto con otros indicadores contextuales, por ejemplo, detecte el descubrimiento de la red y los intentos de movimiento lateral por hassh inusuales como los utilizados por Paramiko, Powershell, Ruby, Meterpreter, Empire.
- Comparta hassh maliciosos como indicadores de compromiso.
- Cree un nivel adicional de control de la aplicación del Cliente, por ejemplo, uno podría bloquear a todos los Clientes para que no se conecten a un servidor SSH que esté fuera de un conjunto conocido de valores hassh aprobados.
- Contribuya a la no repudio en un contexto forense, en un nivel de abstracción más alto que IPSource, que puede verse afectado por NAT, o donde se utilizan múltiples fuentes de IP.
- Detectar aplicaciones engañosas. Por ejemplo, un valor hasshServer que se sabe que pertenece a la instalación del servidor honeypot Cowry/Kippo SSH, que pretende ser un servidor OpenSSH común en la cadena del servidor.
- Detecta dispositivos que tienen un hassh que se sabe que pertenecen a los sistemas integrados IoT. Los ejemplos pueden incluir cámaras, micrófonos, registradores de teclas, escuchas telefónicas que podrían ocultarse fácilmente de la vista y comunicarse silenciosamente a través de canales cifrados con un servidor de control.
Cómo funciona HASSH:
«hassh» y «hasshServer» son hash MD5 construidos a partir de un conjunto específico de algoritmos que son compatibles con varias aplicaciones de servidor y cliente SSH. Estos algoritmos se intercambian después del protocolo de enlace de tres vías TCP inicial como paquetes de texto sin formato conocidos como mensajes «SSH_MSG_KEXINIT», y son una parte integral de la configuración del canal SSH cifrado final. La existencia y el orden de estos algoritmos es lo suficientemente único como para que pueda usarse como huella digital para ayudar a identificar la aplicación subyacente del Cliente y el Servidor o la implementación única, independientemente de los identificadores ostensibles de nivel superior, como las cadenas «Cliente» o «Servidor».
Más información y descarga de HASSH:
https://github.com/salesforce/hassh
Una BD de de hassh(aportada por Alfon Seguridadredes):
