Avvelenamento Cache ARP: ARP Cache Poisoning (T1557.002)

L'implementazione pratica dell'avvelenamento ARP richiede precisione nel timing. Su Linux, arpspoof rimane lo strumento di riferimento per test controllati:

arpspoof -i eth0 -t 192.168.1.100 192.168.1.1

Questo comando posiziona l'attaccante tra la vittima (192.168.1.100) e il gateway predefinito. Per mantenere la connettività e non destare sospetti, bisogna abilitare il forwarding IP con echo 1 > /proc/sys/net/ipv4/ip_forward.

Su Windows, PowerShell offre capacità native per manipolare la cache ARP. L'inserimento di voci statiche avviene tramite:

netsh interface ipv4 add neighbors "Ethernet" 192.168.1.1 aa-bb-cc-dd-ee-ff

Per simulare gratuitous ARP, Scapy su Python permette controllo granulare:

from scapy.all import *
packet = ARP(op=2, psrc="192.168.1.1", hwsrc="aa:bb:cc:dd:ee:ff", pdst="192.168.1.255")
send(packet, verbose=False)

Il successo dell'attacco dipende dalla velocità di risposta. Gli switch moderni con Dynamic ARP Inspection richiedono tecniche più sofisticate come ARP request flooding per saturare le tabelle CAM.

L'intercettazione del traffico post-avvelenamento utilizza tcpdump o Wireshark con filtri mirati su protocolli non cifrati come HTTP, FTP o Telnet. La cattura selettiva riduce il rumore e facilita l'estrazione di credenziali.

La detection comportamentale per ARP poisoning richiede correlazione multi-sorgente. DET0387 fornisce analytics specifici per Windows (AN1091), Linux (AN1092) e macOS (AN1093).

Su Windows con Sysmon, l'EventID 3 cattura connessioni di rete anomale. La chiave sta nel correlare MAC address del gateway con baseline pre-stabilite. Un alert efficace monitora quando il MAC del gateway cambia improvvisamente:

index=windows sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=3 | stats dc(DestinationMAC) by DestinationIP | where dc > 1

Per Linux, auditd intercetta syscall correlate ad ARP. La regola base monitora modifiche alla cache:

-a always,exit -F arch=b64 -S ioctl -F a1=0x8955 -k arp_monitor

Il parametro TrustedGatewayMAC nelle analytic richiede tuning accurato. Documentare i MAC legittimi di router e DHCP server riduce drasticamente i falsi positivi. TimeWindow va calibrato sui pattern di rete: 5 secondi per reti stabili, 30 secondi per ambienti dinamici.

L'integrazione con flow data NSM permette di identificare gratuitous ARP anomali. Pacchetti ARP broadcast ripetuti dallo stesso MAC verso IP multipli indicano poisoning attivo. La soglia AlertThreshold dipende dal traffico baseline: 10 ARP/secondo in LAN enterprise, 3 ARP/secondo in segmenti isolati.

L'avvelenamento ARP lascia tracce forensi volatili che richiedono acquisizione immediata. Su Windows, la cache ARP corrente si estrae con arp -a, ma rappresenta solo uno snapshot. Per ricostruire la timeline serve correlazione con log di rete.

Event Viewer registra cambiamenti di connettività nel System log. EventID 4202 e 4204 indicano modifiche all'interfaccia di rete che possono correlare con l'inizio dell'attacco. La chiave è identificare pattern di disconnessioni/riconnessioni anomale.

Su Linux, /proc/net/arp contiene la cache corrente, mentre i log del kernel in /var/log/kern.log possono contenere neighbor table overflow durante attacchi massivi. La persistenza delle voci ARP statiche in /etc/ethers indica compromissione avanzata.

Cleaver ha dimostrato sofisticazione nell'uso coordinato: prima reconnaissance con ARP scan, poi poisoning selettivo solo su target high-value. I loro tool custom lasciano pattern identificabili nel traffico: burst di 50-100 gratuitous ARP in 2 secondi.

LuminousMoth invece preferisce poisoning persistente con refresh ogni 30 secondi. Questo pattern genera anomalie nei contatori di interfaccia (ifconfig su Linux, netstat -e su Windows) con incrementi regolari di pacchetti ARP.

La timeline reconstruction richiede sincronizzazione temporale precisa tra endpoint e dispositivi di rete. Discrepanze di anche 5 secondi possono impedire la correlazione corretta degli eventi.

Cleaver (origine Iran) integra ARP poisoning in campagne multi-stadio contro infrastrutture critiche. I loro tool custom suggeriscono capacità di sviluppo interne e focus su persistenza long-term. Post-poisoning, transitano rapidamente a lateral movement via SMB e RDP.

LuminousMoth (attribuito a gruppi dell'Asia orientale) utilizza la tecnica per reindirizzamento verso server C2 mascherati. Il pattern indica preferenza per data exfiltration su credential theft. Le loro campagne mostrano interesse per proprietà intellettuale nel settore manifatturiero.

L'overlap tooling tra i due gruppi è minimo, suggerendo sviluppo indipendente. Cleaver preferisce integrazione con framework post-exploitation, LuminousMoth mantiene tool standalone per modularità.

Geograficamente, l'uso di ARP poisoning correla con APT che operano in prossimità fisica dei target o con accesso preliminare alla rete interna. Questo limita il pool di attori a quelli con capacità di initial access sofisticate o insider threat.

Le campagne future probabilmente evolveranno verso IPv6 neighbor discovery poisoning, considerando la migrazione progressiva delle enterprise network. Monitorare PoC pubblici per queste tecniche fornisce early warning su adozione APT.

Framework MITRE ATT&CK documenta T1557.002 con focus su credential access e collection. Le campagne di Cleaver e LuminousMoth forniscono casi studio per evolution tracking. DHCP Snooping e DAI vendor documentation essenziale per implementation guidance.