Information gathering and obfuscation network devices identification for persistent intrusive evaluations

Abstract

RESUMEN: Cuando una evaluación de seguridad es realizada el tiempo y los recursos son primordiales, motivo por el cual es esencial identificar aquellos puntos más vulnerables y enfocarse en ellos. Dichos puntos son identificados en la etapa de “Recolección de información”, convirtiendo ésta en un paso vital durante la evaluación. Surgiendo la necesidad de conocer sí la información recolectada ha sido manipulada por un tercero, ya sea por funcionalidad o por objetivos de oscurecer la información. Esta investigación propone un clasificador para identificar información en ofuscada o integra, así como el tipo de dispositivo de ofuscación, concentrándose en redes NAT, Protocol Scrubbers y Sistemas endurecidos. A través del uso de los algoritmos KNN, Naive Bayes, Máquinas de Soporte Vectorial y Árboles de Decisión. Obteniendo como resultado la clasificación y por lo tanto identificación correcta de la naturaleza de la información así como el tipo de dispositivo que la ofuscó en el caso de información ofuscada. A la fecha no hay propuestas del mismo tipo, existen investigaciones durante una evaluación como lo es identificar Sistemas Operativos, así como en la parte “defensiva” donde proponen controles de seguridad de tipo Protocol Scrubber, Sistemas endurecidos y redes NAT, sin embargo no las hay en el lado ofensivo, como lo hace esta investigación al identificar dichos controles de seguridad así como la información ofuscada. También se han aportado nuevas técnicas para realizar identificación de Sistemas Operativos, analizando interacciones con el objetivo, lo que permite realizar la identificación sin estar en el mismo dominio de colisión, impactando en temas recientes como lo es el identificar un blanco en movimiento.

ABSTRACT: When a security assessment is executed, time and resources are essential, therefore it is important to identify those points that are most likely vulnerable and focus on those. Such points are identified in the “Information gathering” stage turning it in a vital step during the assessment. Emerging the necessity to know if gathered information have been manipulated by a third party either by functionality or by obscuring information goals. This research proposes a classifier in order to identify information into obfuscated or integral, as well as the type of obfuscation device, focusing on NAT networks, Protocol Scrubbers and hardened hosts. Through the use of KNN, Naive Bayes, Support Vector Machines and Decision Tree algorithms. Having as a result the correct information classification and therefore identification and type of obfuscation device. Up to now, there are no researches of this type, there exist researches during an assessment as can be OS Fingerprinting, also in the defensive area, where were proposed security controls to prevent such Fingerprinting, as Protocol Scrubbers, Hardened hosts, and NAT networks, however there are not in the offensive area, as this research proposed to identify such security controls able to obfuscate information and the obfuscated information. Also did contributions in new techniques to identify Operating Systems through interactions with the target, letting identify it without being in the same collision domain, impacting in new research topics like identifying a Moving Target Defense security control.