Sniffing di Rete: Network Sniffing (T1040)

Il network sniffing in un engagement red team si divide in due scenari: cattura passiva di credenziali su protocolli deboli e avvelenamento attivo dei servizi di risoluzione nomi per forzare il transito di hash attraverso la propria interfaccia.

Cattura passiva con tcpdump e tshark. Il punto di partenza è mettere l'interfaccia in modalità promiscua e filtrare i protocolli che trasportano credenziali in chiaro. Su Linux, con tcpdump (open source) preinstallato nella maggior parte delle distribuzioni:

sudo ip link set eth0 promisc on

sudo tcpdump -i eth0 -w capture.pcap -s 0 'port 21 or port 23 or port 25 or port 110 or port 143 or port 80'

Per un'analisi più granulare in tempo reale, tshark (open source, parte della suite Wireshark) permette di estrarre direttamente le credenziali HTTP Basic:

tshark -i eth0 -Y 'http.authbasic' -T fields -e http.authbasic -e ip.src -e ip.dst

Su Windows, Wireshark (open source) richiede il driver Npcap (open source) per la cattura. In alternativa, PoshC2 (open source) include moduli nativi per packet capture su host compromessi, utile per simulare scenari post-exploitation.

Poisoning attivo con Responder. Il tool Responder (open source) avvelena le risposte LLMNR, NBT-NS e mDNS sulla rete locale, costringendo i client a inviare hash NTLMv2 all'attaccante. Il comando base:

sudo responder -I eth0 -wrFb

Il flag -w attiva il proxy WPAD, -r risponde alle query NetBIOS, -F forza l'autenticazione WPAD, -b abilita l'autenticazione HTTP di base. Gli hash catturati finiscono nel log e possono essere crackati con hashcat (open source) oppure rilanciati direttamente con Impacket (open source) tramite il modulo ntlmrelayx per attacchi SMB relay:

ntlmrelayx.py -tf targets.txt -smb2support

Sniffing in ambiente cloud. Per simulare scenari IaaS, utilizza la AWS CLI (open source) per creare una sessione di traffic mirroring tra un'istanza target e una controllata dall'attaccante — richiede il permesso ec2:CreateTrafficMirrorSession. Questo scenario valida se i controlli IAM del cliente impediscono la creazione non autorizzata di mirror.

Network device. Su apparati Cisco compromessi, il comando nativo monitor capture permette di avviare catture direttamente dalla CLI del dispositivo. In laboratorio, replicalo su un router virtualizzato per dimostrare l'impatto senza toccare infrastruttura di produzione.

La difficoltà principale nel rilevare il network sniffing è che si tratta di attività passiva: nessun pacchetto anomalo attraversa la rete, nessuna connessione in uscita viene generata durante la cattura. Il SOC deve quindi concentrarsi sugli effetti collaterali — la configurazione dell'interfaccia, l'esecuzione di tool di cattura, la creazione di sessioni di mirroring cloud.

Windows: process execution e driver loading. La detection AN0875 si basa su WinEventLog:Security e WinEventLog:System. Crea una regola SIEM che correli l'avvio di processi noti — wireshark.exe, tshark.exe, dumpcap.exe, rawshark.exe, netsh trace start — con il contesto utente. Un amministratore di rete che avvia tshark alle 10 di mattina è normale; un account di servizio che lo esegue da una directory temporanea alle 3 di notte non lo è. L'EventCode 4688 (Process Creation) con audit della command line attivo è la fonte primaria. Integra con Sysmon (open source) EventID 1 per catturare l'hash dell'eseguibile e la parent process chain.

Il tuning critico è la whitelist: documenta quali tool di cattura sono autorizzati, su quali host e per quali utenti. Tutto il resto genera alert.

Linux: modalità promiscua e auditd. L'analytic AN0876 monitora i cambiamenti di stato dell'interfaccia. Il kernel logga il passaggio a modalità promiscua con un messaggio nel journal di sistema contenente la stringa PROMISC. Configura auditd per tracciare le syscall socket con tipo SOCK_RAW:

-a always,exit -F arch=b64 -S socket -F a0=17 -k raw_socket

Correla questo evento con l'esecuzione di tcpdump, tshark o processi che caricano libpcap. Il tuning per ambienti con monitoraggio di rete legittimo prevede di escludere le interfacce virtuali (bridge, docker0, veth) e concentrarsi sulle interfacce fisiche eth0, ens*, wlan0.

Cloud: audit trail delle sessioni mirror. Per AN0878, monitora in AWS CloudTrail le API call CreateTrafficMirrorSession, CreateTrafficMirrorTarget e CreateTrafficMirrorFilter. Queste operazioni sono rarissime in ambienti normali — qualsiasi occorrenza non proveniente da un ruolo IAM infrastrutturale noto merita investigazione immediata. In Azure, l'equivalente è l'evento di creazione vTap; in GCP, le operazioni su Packet Mirroring nel log di audit.

Network device. Per AN0879, invia i syslog degli apparati di rete al SIEM e crea regole per i comandi monitor capture, debug packet, packet-trace e varianti vendor-specific. Correla con la durata della sessione CLI: sessioni interattive prolungate seguite da comandi di cattura sono un forte indicatore.

Gestione dei falsi positivi: il tuning temporale è essenziale. Definisci finestre orarie per manutenzione autorizzata e segnala come sospetta qualsiasi cattura fuori da queste finestre.

L'analisi forense del network sniffing si sviluppa su due piani: gli artefatti che dimostrano che la cattura è avvenuta e il contenuto delle catture stesse — se recuperabile — che rivela cosa l'attaccante ha appreso.

Artefatti Windows. Cerca file .pcap, .pcapng, .cap e .etl in directory non standard — %TEMP%, %APPDATA%, cartelle utente, root di unità secondarie. I prefetch file (C:\Windows\Prefetch) possono confermare l'esecuzione di tool di cattura: DUMPCAP.EXE-*.pf, TSHARK.EXE-*.pf, RAWSHARK.EXE-*.pf. Ogni prefetch contiene timestamp dell'ultima e delle ultime otto esecuzioni, oltre alla lista dei file e DLL acceduti — inclusa la presenza di npcap.dll o wpcap.dll.

L'Event Log Security con EventCode 4688 e command line auditing attivo mostra i parametri esatti usati dall'attaccante. Se Sysmon era attivo, EventID 1 fornisce hash del binario, parent process e utente. Verifica anche EventID 7 (Image Loaded) per il caricamento di npcap.sys o npf.sys — il driver di cattura.

Artefatti Linux. Il file /var/log/audit/audit.log registra le syscall socket con tipo SOCK_RAW se auditd era configurato con la regola appropriata. Il journal di systemd conserva i messaggi del kernel relativi al flag PROMISC sulle interfacce. Cerca nella history della shell (~/.bash_history, ~/.zsh_history) comandi come tcpdump, tshark, riferimenti a libpcap.

Nei casi documentati, UNC3886 ha utilizzato durante la campagna RedPenguin (C0056) un backdoor passivo basato su libpcap sui router Juniper MX Series compromessi. L'artefatto chiave in questo scenario è la presenza di binari custom con dipendenza da libpcap.so in directory non standard del filesystem del dispositivo. Analogamente, LOOKOVER — lo sniffer TACACS+ attribuito allo stesso gruppo — lascia tracce nei processi attivi e nei file temporanei degli apparati di rete.

Network device e appliance. Per i dispositivi F5 BIG-IP compromessi da Velvet Ant con il tool VELVETTAP, la forensic si concentra sull'analisi del filesystem dell'appliance: binari non firmati, cron job anomali, file pcap in directory temporanee. Su apparati Cisco coinvolti nella campagna ArcaneDoor (C0046), Line Dancer ha eseguito catture direttamente dalla memoria — l'analisi richiede dump della RAM del dispositivo e confronto con baseline note.

Timeline. Ricostruisci la sequenza: installazione del tool o driver di cattura → attivazione della modalità promiscua → avvio della cattura → esfiltrazione dei file risultanti. Correla i timestamp dei file pcap con gli accessi successivi dell'attaccante: se dopo la cattura si osservano login con credenziali di altri utenti, hai la prova che lo sniffing ha fornito il vettore per il movimento laterale.

Il network sniffing è trasversale: lo utilizzano gruppi con mandati molto diversi, ma emerge un pattern chiaro che distingue chi lo usa per raccogliere credenziali da chi lo impiega per il monitoraggio persistente di infrastrutture critiche.

APT28 (G0007) rappresenta l'approccio opportunistico. Il gruppo ha combinato Responder per il poisoning LLMNR/NBT-NS — catturando hash NTLMv2 da riutilizzare per accesso laterale — con operazioni di prossimità fisica tramite Wi-Fi Pineapple per intercettare segnali wireless e credenziali. Questo doppio vettore, remoto e close-access, è una firma operativa distintiva.

Sandworm Team (G0034) ha impiegato lo sniffing nel contesto della campagna 2015 Ukraine Electric Power Attack (C0028) — il primo attacco pubblico alla rete elettrica ucraina. Il modulo sniffer di BlackEnergy ha intercettato credenziali tra la LAN locale e i sistemi di controllo industriale, utilizzando Intercepter-NG per catturare password dal traffico di rete. Lo sniffing qui non è fine a sé stesso: è il passo intermedio verso la compromissione OT.

Salt Typhoon (G1045) e Velvet Ant (G1047) rappresentano la scuola cinese dell'accesso persistente a infrastrutture di rete. Salt Typhoon ha utilizzato molteplici tool per la cattura di pacchetti tra interfacce di rete, mentre Velvet Ant ha sviluppato VELVETTAP, un tool custom per packet capture su appliance F5 BIG-IP compromesse. In entrambi i casi, il target non è la workstation ma l'appliance di rete stessa — un punto d'osservazione privilegiato dove transita tutto il traffico.

UNC3886 (G1048) porta questo approccio all'estremo. Con LOOKOVER, uno sniffer specifico per pacchetti di autenticazione TACACS+, il gruppo ha dimostrato capacità di sviluppo custom mirate a protocolli di gestione infrastrutturale. La campagna RedPenguin (C0056) ha confermato il pattern: backdoor basato su libpcap direttamente sui router Juniper MX Series, trasformando i dispositivi di rete in piattaforme di sorveglianza passiva.

Kimsuky (G0094) e APT33 (G0064) condividono un approccio più semplice, basato su SniffPass di Nirsoft — un tool leggero che cattura password su protocolli non cifrati. DarkVishnya (G0105) ha utilizzato lo sniffing nel contesto di attacchi con accesso fisico, coerente con il loro modus operandi basato su dispositivi hardware inseriti nella rete interna delle vittime.

Il trend strategico è evidente: lo sniffing si sta spostando dagli endpoint verso i dispositivi di rete — router, firewall, load balancer, appliance — dove il traffico transita in chiaro dopo la TLS termination. I gruppi più sofisticati sviluppano tool custom per protocolli specifici (TACACS+, SCTP/SCCP per reti telco con MESSAGETAP), mentre gli attori meno avanzati si affidano a tool pubblici comunque efficaci.

Framework MITRE ATT&CK v16: T1040, TA0006, TA0007. Campagne: C0056 (RedPenguin), C0028 (2015 Ukraine Electric Power Attack), C0046 (ArcaneDoor). Detection: DET0314 con analytic AN0875–AN0879. Mitigazioni: M1018, M1032, M1041, M1030. Integrato con conoscenza professionale per tool e procedure operative.