كيف تكشف بصمات JA3 «الميتة» شبكات المجرمين الإلكترونيين

في لعبة القط والفأر للدفاع السيبراني، تُشطب بعض الأدوات باعتبارها بقايا من الماضي - إلى أن يجد المهاجمون أنفسهم مكشوفين بما ظنّوه غير مرئي. بصمة JA3، وهي تقنية وضعها كثير من محترفي الأمن جانبًا قبل سنوات، أصبحت اليوم في قلب ثورة صامتة لتتبّع العمليات الإجرامية على الإنترنت وتعطيلها.

حقائق سريعة

• تنشئ JA3 تجزئات فريدة من بيانات مصافحة TLS، لتوصيف «بصمة» الشبكة لأدوات البرمجيات الخبيثة.
• ربطت عمليات صيد تهديدات حديثة تجزئات JA3 محددة ببرمجيات خبيثة سيئة السمعة مثل Remcos RAT وWannaCry.
• تظهر بصمات JA3 باستمرار في سجلات الأمن، لكنها غالبًا ما تُغفل من قبل المحللين.
• مع السياق، تُمكّن JA3 من الكشف المبكر عن بنية هجوم جديدة قبل ظهور المؤشرات التقليدية.
• تستطيع منصات استخبارات التهديدات الحديثة الانطلاق من تجزئة JA3 واحدة لرسم خريطة كاملة لأدوات المجرمين وقنوات تهريب البيانات.

لسنوات، كانت بصمة JA3 في الأمن السيبراني أشبه بكتابٍ مغبرّ في مكتبة - حسن النية، نادر الفتح، ومفترض أنه تجاوز الزمن. تجمّدت قواعد البيانات العامة، وركدت تغذيات استخبارات التهديدات، وأغلب مراكز عمليات الأمن (SOCs) أنزلت JA3 إلى مجرد حقل آخر في السجلات. لكن خلف الكواليس، لم تتوقف هذه الطريقة - المبنية على غرائب بيانات TLS ClientHello - عن العمل قط. بل إن المهاجمين، مع إعادة تدويرهم وإعادة استخدامهم لوحدات الشبكة، جعلوا تجزئات JA3 الثابتة توثّق بهدوء كل حركة لهم.

وعلى خلاف المؤشرات «الرخيصة» مثل عناوين IP أو النطاقات، التي يمكن للمهاجمين تبديلها خلال ثوانٍ، تعمل JA3 على مستوى أعمق يتمحور حول الأداة نفسها. فهي تُقطّر مصافحة TLS لجلسة الشبكة - الإصدار، مجموعات الشيفرات، الامتدادات، وغير ذلك - إلى تجزئة MD5 فريدة، لتصنع ملفًا تعريفيًا متينًا يلتصق بقاعدة شيفرة البرمجية الخبيثة عبر الحملات. وعندما يكلّف فريق مركز العمليات الأمنية نفسه عناء النظر، تظهر البصمات ذاتها مرارًا وتكرارًا، متتبعةً سلالة مجموعات أدوات الجريمة.

تُبرز دراسات حالة حديثة القيمة المتجددة لـJA3. فقد رصد المحققون التجزئة a85be79f7b569f1df5e6087b69deb493 عبر عدة حوادث لـRemcos RAT، بينما ظهرت e7d705a3286e19ea42f587b344ee6865 في نشاط مرتبط بـWannaCry - وكلاهما يشير إلى بنية تحتية مميزة للمهاجمين. وفي حالة أخرى، استخدمت برمجية خبيثة مبنية بلغة Go ومرتبطة بعائلة Skuld التجزئة e69402f870ecf542b4f017b0ed32936a لتهريب البيانات عبر Telegram وDiscord وGoFile، وكل ذلك بينما كانت تتحقق بصمت من الموقع الجغرافي للضحية.

تتجلى القوة الحقيقية عندما يجمع المحللون JA3 مع السياق - مؤشر اسم الخادم (SNI)، التجزئات ذات الصلة، عناوين URI، وقياسات المضيف. فالارتفاعات المفاجئة في تجزئات JA3 النادرة تُنذر بإطلاق أدوات خبيثة جديدة، أحيانًا قبل وجود تواقيع لمضادات الفيروسات. وتتيح منصات استخبارات التهديدات الحديثة الآن للفرق الانتقال من تجزئة واحدة إلى رسم خريطة لعائلات البرمجيات الخبيثة المرتبطة، ومسارات تهريب البيانات، والملفات المُسقطة، محوِّلةً بصمة بسيطة إلى صورة كاملة لعمليات المهاجمين.

الخلاصة

بصمة JA3 ليست أثرًا من الماضي - بل أصلٌ أُعيد اكتشافه لمن يملك الاستعداد للتنقيب أعمق. ومع ازدياد تعقيد المجرمين الإلكترونيين، لا تزداد قيمة الإشارات المتينة والغنية بالسياق مثل JA3 إلا ارتفاعًا. في المرة القادمة التي يظهر فيها «مجرد حقل آخر في السجل» داخل مركز عمليات الأمن لديك، تذكّر: قد يكون هو الخيط الذي يفكك شبكة إجرامية بأكملها.

WIKICROOK

• JA3: تنشئ JA3 بصمات فريدة لجلسات TLS باستخدام بيانات المصافحة، ما يساعد فرق الأمن على تحديد حركة الشبكة المشفرة وتتبعها لكشف التهديدات.
• SOC (مركز عمليات الأمن): مركز عمليات الأمن (SOC) هو فريق أو منشأة تراقب وتدافع عن الأنظمة الرقمية لمؤسسة ما ضد التهديدات السيبرانية، غالبًا على مدار الساعة طوال أيام الأسبوع.
• Remcos RAT: Remcos RAT هو حصان طروادة للتحكم عن بُعد يتيح للمهاجمين السيطرة على الأنظمة المصابة، وسرقة البيانات، والتجسس، ونشر برمجيات خبيثة إضافية عن بُعد.
• تجزئة MD5: تجزئة MD5 هي دالة تشفير تُنتج سلسلة فريدة ثابتة الطول من بيانات الإدخال، وتُستخدم أساسًا لسلامة البيانات والتعرّف عليها.
• استخبارات التهديدات: استخبارات التهديدات هي معلومات حول التهديدات السيبرانية تساعد المؤسسات على توقّع الهجمات المحتملة وتحديدها والدفاع ضدها.