<div dir="auto">We had similar results as it sounds like you all are having with ja3.<div dir="auto"><br></div><div dir="auto">I haven't had a chance to run the set of ja3 rules but what we found in general with ja3 was that we had to write rules that looked at both ja3 and ja3s (i.e. flowbits)</div><div dir="auto"><br></div><div dir="auto">We also knocked down the ja3/ja3s rules to target specific things that we otherwise didn't have an otherwise good way to detect. For instance specific things like cobalt strike or meterpreter/metasploit c2.</div><div dir="auto"><br></div><div dir="auto">On a side note has anyone put ja3 hashes in a dataset? Was thinking about that the other day and was curious if anyone has messed around with it yet?</div><div dir="auto"><br></div><div dir="auto">JT</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Oct 28, 2019, 18:37 Nelson, Cooper <<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_953864142181353642WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Was waiting for you to go first, Michal!  I’m seeing lots of JA3 alerts inbound against our own infrastructure, which I’m fairly certain are also false-positives,
 so don’t take it personally.  I agree that there seems to be a flaw in the core design, vs. a typical false-positive scenario.  
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Our alerts went from 3-4 million a day to 15+ million with the JA3 alerts enabled.   I’ve been trying to filter a signal from the resulting noise with little
 to show for it currently, as every active host on campus is triggering 100+ alerts a day without any sort of meaningful pattern to it that I can discern.  I was skeptical of JA3 from the beginning as the whole point of TLS is prevent any sort of meaningful
 information leakage from the secure channel in the first place, so this does not surprise me.
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">We have local webservers triggering alerts against *<b>everything</b>*, malware, phishing, RATs, etc.  Or maybe this *<b>is</b>* by design, as according to the
 docs they seem to be targeting a zero trust environment (which isn’t us!) and is likely going to result in a lot of collisions:<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">“JA3 is also an excellent detection mechanism in locked-down environments where only a few specific applications are allowed to be installed. In these types of
 environments one could build a whitelist of expected applications and then alert on any other JA3 hits.”<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">However, this is along the lines of my prior request for ASN based reputation support in suricata.  For example, we could create a standard list of “known good”
 ASNs, eg:<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><a href="https://ipinfo.io/AS36856" target="_blank" rel="noreferrer">https://ipinfo.io/AS36856</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">… and only alert against “known bad” or “unknown” ASNs.  So we only escalate to an alert if there are at least two independent IOCs. 
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">That said, I have seen at least one case where a single host triggered multiple JA3 malware alerts from the same family, along with some other associated ETPRO
 alerts, so those were likely legit.  So, for us at least, they could function as a secondary IOC to be evaluated in context with other bad behavior.  Part of my basic philosophy is that ‘noise is good’ as it creates rich opportunities for data mining, however
 even I have my limits and will turn spammy sigs off, like the iTunes/iPhone fluff.  I’m probably going to have to put JA3 in that bucket for now because at this point they are clogging up our alerting pipeline/SIEM.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">For those able to afford the IP reputation feed from ETPRO, one could escalate alerts to your SOC based on a combination of a JA3 and poor IP reputation. 
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">For the rest of us, maybe EmergingThreats could either do something with flowbits to only throw an alert if the source or destination IP has already been tagged
 recently (within a few minutes) as doing something ‘bad’.  It would also be nice, if possible, to split the file into low and high confidence alerts. 
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">The EmergingThreats team should also set the $HOME_NET variable by default for all the client malware alerts, to get rid of the inbound false-positives at least. 
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">-Coop<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Emerging-sigs <<a href="mailto:emerging-sigs-bounces@lists.emergingthreats.net" target="_blank" rel="noreferrer">emerging-sigs-bounces@lists.emergingthreats.net</a>>
<b>On Behalf Of </b>Michal Purzynski<br>
<b>Sent:</b> Monday, October 28, 2019 2:20 PM<br>
<b>To:</b> <a href="mailto:emerging-sigs@lists.emergingthreats.net" target="_blank" rel="noreferrer">emerging-sigs@lists.emergingthreats.net</a><br>
<b>Subject:</b> [Emerging-Sigs] JA3 flags official Firefox distribution sites as malware<u></u><u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">Anyone having any luck with those new signatures? I believe they are flawed by design. JA3, having tons of collisions, has never been intended for a detection, especially used in a signature "if A then ALARM".<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">On top of that, you're flagging official Firefox distribution sites as malware. I think I know what's going on, as it used to be the case in the past<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">1. someone, somewhere, takes the official installer and backdoors it. This invalidates the binary's signature, but user's don't care ;)<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">2. the backdoored version downloads the Firefox from us and a malware from somewhere else<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">3. the sandbox that's responsible for generating signatures, just flags every kind of traffic egreesing from the system as "malware related"<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">4. boom, we're on the list<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
</div>
</div>

_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@lists.emergingthreats.net" target="_blank" rel="noreferrer">Emerging-sigs@lists.emergingthreats.net</a><br>
<a href="https://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" rel="noreferrer noreferrer" target="_blank">https://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreats.net" rel="noreferrer noreferrer" target="_blank">http://www.emergingthreats.net</a><br>
<br>
</blockquote></div>