Técnicas de Randomização de Impressão Digital JARM: Evadindo a Detecção em Infraestruturas C2

Técnicas de Randomização de Impressão Digital JARM: Evadindo a Detecção em Infraestruturas C2

Este artigo explora a tecnologia de randomização de impressão digital JARM, um método crucial para evadir a detecção em infraestruturas de Comando e Controle (C2). A técnica visa ofuscar a identidade de servidores C2, tornando mais difícil para as equipes de segurança identificarem e neutralizarem ameaças.

MundiX News·10 de julho de 2026·8 min de leitura·👁 1 views

A identificação de servidores de Comando e Controle (C2) é um desafio constante na cibersegurança. Uma das técnicas utilizadas para essa finalidade é a análise de impressões digitais JARM. O JARM (Just Another Randomizer Method) funciona enviando ativamente 10 pacotes TLS Client Hello especialmente construídos para um servidor TLS alvo. O objetivo é extrair respostas únicas do servidor, capturando atributos específicos do TLS Server Hello. Essas respostas agregadas são então processadas por um algoritmo de hash para gerar a impressão digital JARM.

O princípio por trás do JARM reside na variação dos parâmetros dentro do Client Hello. Diferentes versões de TLS, cifras e extensões, enviados em ordens variadas, resultam em respostas Server Hello distintas. Ao enviar pacotes de handshake Client Hello customizados, é possível obter respostas Server Hello específicas que, quando combinadas e hasheadas, formam a impressão digital TLS do servidor. Questões como o suporte ao protocolo TLS 1.3, a negociação de TLS 1.3 com cifras do TLS 1.2, ou a escolha de cifras de uma lista ordenada de fracas para fortes, são exemplos de anomalias que o JARM explora para extrair as respostas mais únicas possíveis. A agregação e o hash dessas 10 respostas geram a impressão digital JARM.

Embora as impressões digitais JARM sejam frequentemente usadas para corroborar e marcar serviços TLS, associando-os a serviços específicos, a realidade é que elas nem sempre são únicas para diferentes implantações de C2. Diversos fatores podem influenciar os resultados da varredura JARM, impedindo que a impressão digital aponte diretamente para uma instalação C2 específica. Portanto, ela serve mais como um elemento de corroboração do que como um identificador direto para fins de mapeamento de comportamento. Durante o desenvolvimento de ferramentas como o RedGuard, que visa ocultar serviços C2 através do controle de tráfego de ponta, observou-se que as impressões digitais JARM para o RG, em ambientes com diversas diferenças, tendem a ser consistentes. Isso significa que, durante a análise, essa impressão digital pode servir como um indicador de instalações de ataque, minando o objetivo de ocultação.

Mudanças na infraestrutura, como endereços IP ou plataformas de hospedagem, geralmente não afetam as assinaturas JARM, tornando a evasão por métodos convencionais difícil. Os fatores que influenciam a impressão digital JARM do lado do servidor incluem o sistema operacional e sua versão, as bibliotecas utilizadas e suas versões, a ordem de chamada das bibliotecas e configurações personalizadas. Para influenciar o resultado da varredura JARM em um servidor, é necessário intervir nesses fatores. Atualmente, existem duas soluções principais: a repetição de respostas TLS Server Hello e a alteração da configuração TLS Server CipherSuites (conjuntos de cifras).

A primeira abordagem envolve a escuta de um servidor TCP que responde a Client Hellos específicos. Ao capturar esses Client Hellos específicos no servidor C2 (identificados por bytes repetidos em cada solicitação) e reproduzir de forma estável as respostas aos 10 Client Hellos especialmente construídos, é possível alterar a impressão digital JARM real. Um exemplo de código demonstra a lógica de identificar e reproduzir respostas específicas. No entanto, essa técnica pode ser considerada um tanto quanto passiva e monótona. É crucial notar que a resposta original do Server Hello não pode ser modificada arbitrariamente, pois a interação normal do tráfego é essencial para o funcionamento das ferramentas. Modificações indevidas podem levar a problemas de comunicação. Portanto, os pacotes Server Hello reproduzidos precisam ser obtidos a partir da varredura JARM de um serviço legítimo, o que pode não ser ideal para ofuscação em ferramentas. Uma extensão dessa abordagem é obter aleatoriamente uma lista de sites legítimos, realizar varreduras JARM para obter suas respostas Server Hello e, em seguida, reproduzir essas respostas como as respostas para pacotes de handshake JARM identificados. Esta é considerada uma forma mais razoável de implementação.

A segunda abordagem, popularizada em uma apresentação da HITB Amsterdam 2021 intitulada "COMMSEC: JARM Randomizer: Evading JARM Fingerprinting", envolve a modificação dos conjuntos de cifras (CipherSuites). O código-fonte derivado, como o JARM Randomizer no GitHub, revela que a influência nos fatores JARM é exercida através da seleção de CipherSuites. A configuração do TLS para um proxy reverso pode incluir 15 conjuntos de cifras diferentes. A combinação de 1, 2 ou mais desses conjuntos de cifras resulta em impressões digitais JARM distintas. A seleção aleatória de 1 a 2 conjuntos de cifras pode gerar dezenas de impressões digitais JARM aleatórias. O efeito final é que, a cada inicialização do RedGuard, sua impressão digital JARM é diferente, gerada automaticamente através dos métodos de ofuscação descritos. Isso impede a detecção por varreduras de mapeamento espacial e a associação da infraestrutura RG na rede pública. Muitas plataformas de mapeamento atuais integram a varredura de impressões digitais JARM devido à sua eficiência, baixo custo de recursos e capacidade de fornecer indícios sobre instalações C2.

O RedGuard é uma ferramenta de controle de tráfego de ponta para infraestruturas C2, projetada para evadir a detecção por Blue Teams, antivírus (AVs) e EDRs (Endpoint Detection and Response). A randomização da impressão digital JARM é uma tática essencial para manter a discrição e a eficácia dessa ferramenta contra as crescentes capacidades de detecção.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.