ARP Cache Poisoning: Adversary-in-the-Middle tramite ARP (T1557.002)

L'ARP cache poisoning è uno degli attacchi più classici da laboratorio, ma replicarlo in modo controllato richiede attenzione alla segmentazione dell'ambiente di test. Lavora sempre su una rete isolata — una VLAN dedicata o un ambiente virtualizzato con bridge interno — per evitare impatti su infrastrutture produttive.

Lo strumento di riferimento è bettercap (open source), un framework offensivo per reti che integra nativamente moduli di ARP spoofing, sniffing e credential harvesting. Una volta installato su una macchina Linux all'interno del segmento di rete target, la catena operativa si articola in pochi passaggi. Per prima cosa si avvia bettercap specificando l'interfaccia di rete:

sudo bettercap -iface eth0

Dal prompt interattivo si attiva il modulo di ARP spoofing indicando il target e il gateway. Ad esempio, per posizionarsi tra l'host 192.168.1.50 e il gateway 192.168.1.1:

set arp.spoof.targets 192.168.1.50

arp.spoof on

A questo punto tutto il traffico tra la vittima e il gateway transita attraverso la macchina dell'attaccante. Per catturare credenziali in chiaro si abilita il modulo sniffer integrato:

set net.sniff.verbose true

net.sniff on

bettercap rileva automaticamente credenziali HTTP, FTP e altri protocolli non cifrati.

Un approccio più granulare prevede l'uso di Scapy (open source), la libreria Python per la manipolazione di pacchetti. Con Scapy puoi costruire pacchetti ARP reply personalizzati, specificando l'indirizzo MAC sorgente dell'attaccante e l'IP del gateway come IP sorgente, così da convincere il target ad aggiornare la propria cache. Questo metodo è particolarmente utile in esercitazioni dove serve dimostrare il meccanismo a basso livello senza dipendere da un framework completo.

Per la fase di intercettazione attiva, una volta ottenuta la posizione MitM, puoi lanciare tcpdump (open source) per catturare il traffico in transito:

sudo tcpdump -i eth0 -w capture.pcap host 192.168.1.50

L'analisi successiva con Wireshark (open source) permette di filtrare i protocolli di interesse e identificare credenziali trasmesse in chiaro.

Se vuoi verificare l'effetto del poisoning dal lato vittima, su Windows esegui:

arp -a

Questo mostra la cache ARP corrente: un indirizzo MAC duplicato associato a IP diversi (gateway e attaccante) è la conferma che il poisoning ha funzionato. Su Linux il comando equivalente è ip neigh show.

Una nota operativa importante: abilita l'IP forwarding sulla macchina attaccante per non interrompere il traffico della vittima, altrimenti l'attacco risulterà in un denial-of-service anziché in un'intercettazione trasparente. Su Linux:

sudo sysctl -w net.ipv4.ip_forward=1

La detection dell'ARP poisoning è una sfida peculiare perché l'attacco si consuma a layer 2, un livello che la maggior parte dei SIEM non monitora nativamente. La chiave è combinare fonti di rete con artefatti endpoint, costruendo correlazioni che alzano la confidenza senza generare un diluvio di falsi positivi.

Su Windows, le analitiche si basano su Sysmon e i Security Event Log. L'approccio comportamentale più efficace consiste nel monitorare quando più indirizzi IP risultano associati allo stesso indirizzo MAC nella cache ARP dell'endpoint. Configura un parametro di tuning TrustedGatewayMAC con l'indirizzo MAC atteso per il default gateway: qualsiasi deviazione merita un alert ad alta priorità. Il secondo parametro critico è TimeWindow, che definisce l'intervallo di correlazione per risposte ARP non sollecitate ripetute — un burst di gratuitous ARP in pochi secondi è un segnale forte.

Su Linux, la combinazione di auditd con log di tipo SYSCALL e flussi di rete (NSM:Flow) offre visibilità sulle modifiche alla cache ARP e sul traffico anomalo. Il parametro AllowedARPUpdates serve a escludere gli aggiornamenti IP-MAC legittimi — tipici di server con interfacce virtuali o router con protocolli di ridondanza come VRRP. La soglia AlertThreshold (pacchetti ARP anomali al secondo) va calibrata sul traffico di baseline: in reti enterprise una decina di ARP reply al secondo dallo stesso MAC è già sospetto.

Per macOS, i log unificati (unified log) combinati con cattura di rete permettono di individuare le stesse anomalie. Il parametro GatewayMACBaseline funziona come su Windows, e CorrelationDepth definisce quante inconsistenze ARP tollerare prima di escalare.

A livello di rete, la mitigazione più immediata è attivare DHCP Snooping e Dynamic ARP Inspection (DAI) sugli switch managed. DAI crea una tabella di binding IP-MAC derivata dai lease DHCP e scarta le ARP reply che non corrispondono, bloccando il poisoning alla sorgente. Questa è detection e prevenzione allo stesso tempo.

Per il layer di network intrusion detection, sistemi IDS/IPS come Suricata (open source) o Snort (open source) possono essere configurati con regole che identificano pattern di ARP spoofing — ad esempio un numero anomalo di ARP reply provenienti da un singolo MAC verso destinazioni multiple. Affianca a questo la cifratura del traffico sensibile con TLS, così che anche in caso di poisoning riuscito le credenziali intercettate risultino inutilizzabili.

L'analisi forense di un ARP poisoning richiede un approccio ibrido: artefatti endpoint per stabilire quando la cache è stata alterata, e catture di rete per ricostruire l'intera sequenza dell'attacco. Raramente troverai solo uno dei due, quindi il valore sta nella correlazione temporale.

Su Windows, il punto di partenza è la cache ARP storica. Il comando arp -a mostra lo stato corrente, ma in ambito forense serve la cronologia. Se Sysmon è installato con una configurazione che logga le connessioni di rete (EventID 3), puoi correlare i timestamp delle connessioni con l'indirizzo MAC del gateway osservato. Un cambio improvviso del MAC associato al gateway nel mezzo di una sessione è un marker di poisoning. Nei log di Security, cerca anche eventi legati a modifiche delle interfacce di rete.

L'artefatto più prezioso, quando disponibile, è un file PCAP catturato da un sensore di rete. In Wireshark, applica il filtro arp.opcode == 2 per isolare tutte le ARP reply e cerca due pattern rivelatori: risposte ARP non sollecitate (gratuitous) e lo stesso indirizzo MAC che rivendica IP diversi — tipicamente il proprio IP e quello del gateway. Il timestamp della prima ARP reply anomala definisce il T0 dell'attacco.

Su Linux, i log di auditd con eventi di tipo SYSCALL registrano le chiamate di sistema relative alla gestione della cache ARP. Il file /proc/net/arp rappresenta uno snapshot live, ma per ricostruire la timeline serve correlare con i flussi di rete. Se il sistema utilizza NetworkManager, i log in journalctl possono contenere notifiche di conflitto IP — un segnale indiretto di ARP spoofing in corso.

Per macOS, l'unified log contiene eventi del sottosistema di rete che registrano aggiornamenti alla tabella ARP. Usa log show --predicate con filtri sul sottosistema network per estrarre le entry rilevanti e ordinarle cronologicamente.

Nella costruzione della timeline, posiziona prima il momento del poisoning (prima ARP reply anomala), poi le connessioni intercettate (flussi TCP con MAC sorgente dell'attaccante), e infine eventuali credenziali compromesse deducibili dai log applicativi — ad esempio login falliti seguiti da login riusciti da IP diversi, compatibili con credential replay. LuminousMoth ha utilizzato l'ARP spoofing per redirigere macchine compromesse verso siti controllati dall'attaccante: in casi simili cerca nei log del browser o nei DNS query entry per domini sconosciuti che compaiono subito dopo l'alterazione della cache ARP.

L'ARP cache poisoning, pur essendo una tecnica classica, compare nel repertorio di gruppi APT con obiettivi e contesti operativi distinti. L'adozione è limitata — solo 2 gruppi documentati — ma i profili rivelano pattern significativi.

Cleaver (G0003) è un gruppo con capacità di sviluppo proprio. L'impiego di tool custom per facilitare l'ARP cache poisoning indica un livello di sofisticazione che va oltre l'uso di framework pubblici: il gruppo ha investito risorse nello sviluppo di strumenti ad hoc, probabilmente per evitare le signature associate a tool noti come ettercap o bettercap. Questo suggerisce un modus operandi orientato alla persistenza nella rete interna, dove il poisoning serve come abilitatore per la raccolta di credenziali su larga scala.

LuminousMoth (G1014) impiega l'ARP spoofing con un obiettivo più specifico: redirigere macchine già compromesse verso siti controllati dall'attore. Questo uso rivela una catena d'attacco in cui il poisoning non è il primo accesso ma un meccanismo di controllo laterale post-compromissione — la vittima viene reindirizzata per scaricare payload aggiuntivi o per esfiltrazione dati attraverso un canale web apparentemente legittimo.

Dal punto di vista dei pattern, l'ARP poisoning richiede necessariamente presenza sulla rete locale. Questo significa che viene impiegato dopo un accesso iniziale riuscito — tipicamente post-exploitation di un endpoint — e che l'attaccante ha già un foothold nel segmento di rete. La tecnica si concatena naturalmente con Network Sniffing per l'intercettazione passiva e con Transmitted Data Manipulation per attacchi attivi.

Il fatto che le mitigazioni includano DHCP Snooping, Dynamic ARP Inspection e entry ARP statiche indica che la difesa è principalmente infrastrutturale. Per un TI officer, il consiglio operativo è verificare se i segmenti di rete critici dell'organizzazione hanno queste protezioni attive: l'assenza di DAI sugli switch è un gap che rende l'organizzazione vulnerabile anche ad attaccanti poco sofisticati. Monitora inoltre l'evoluzione di entrambi i gruppi: se Cleaver investiva in tool custom per questa tecnica, è plausibile che varianti aggiornate vengano impiegate in campagne future con capacità di evasione migliorate.

Framework MITRE ATT&CK v16 — T1557.002 (ARP Cache Poisoning), tattiche TA0006, TA0009. Gruppi: G0003 (Cleaver), G1014 (LuminousMoth). Mitigazioni: M1041, M1031, M1017, M1042, M1035, M1037. Detection: DET0387 con analitiche AN1091 (Windows), AN1092 (Linux), AN1093 (macOS). Integrato con conoscenza professionale per tool e procedure operative.