# Arp > Tipo: **tool** · S0099 · [MITRE ATT&CK](https://attack.mitre.org/software/S0099) ## Descrição [[s0099-arp|Arp]] exibe e modifica informações sobre o cache ARP (Address Resolution Protocol) de um sistema. O cache ARP armazena o mapeamento entre endereços IP e endereços MAC da rede local, sendo usado por administradores para diagnosticar problemas de conectividade, verificar vizinhos de rede e solucionar conflitos de IP. A ferramenta está disponível nativamente no Windows (`arp.exe`), Linux e macOS. Em contextos maliciosos, adversários utilizam `arp -a` para descobrir hosts ativos na subrede local sem gerar tráfego de varredura explícito detectável por soluções de IDS/IPS. Quando combinado com `ipconfig` e `netstat`, o `arp` compõe o conjunto básico de utilitários de reconhecimento de rede executados nos primeiros minutos após comprometimento de um host. Grupos como [[g0010-turla|Turla]], [[g0050-apt32|APT32]] e [[g1043-blackbyte|BlackByte]] usam `arp` nessa fase inicial de descoberta para identificar o segmento de rede e planejar movimentação lateral. **Plataformas:** Linux, Windows, macOS ## Técnicas Utilizadas - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g0010-turla|Turla]] - [[g1043-blackbyte|BlackByte]] - [[g0050-apt32|APT32]] - [[g0071-orangeworm|Orangeworm]] ## Relevância LATAM/Brasil O uso de `arp` é agnóstico de região, mas seu papel como utilitário de reconhecimento inicial tem sido documentado em campanhas de ransomware que atingiram o Brasil. O [[g1043-blackbyte|BlackByte]], que atacou organizações de infraestrutura crítica brasileira, utiliza `arp` junto de outros LOLBins para reconhecimento sem download de ferramentas externas - uma estratégia que dificulta a detecção por soluções de AV tradicionais. Em incidentes investigados no setor de manufatura e saúde no Brasil em 2024–2025, a cadeia `arp -a` + `ipconfig /all` + `net view` foi consistentemente identificada como a sequência de descoberta de rede executada imediatamente pós-acesso inicial. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `arp.exe` com argumento `-a` ou `-n` por processos não-administrativos ou em horários fora do padrão - **Windows Security Event ID 4688:** Criação de processo `arp.exe` - correlacionar com outros utilitários de reconhecimento executados na mesma sessão (ipconfig, net, whoami, nltest) para identificar sequência de discovery - **EDR Behavioral:** Execução encadeada de múltiplos utilitários de rede em jánela de 2-5 minutos por um único processo pai - padrão de automated discovery script **Regras de detecção:** - Sigma: `proc_creation_win_susp_recon_network_activity.yml` - detecta execução sequencial de utilitários de reconhecimento de rede incluindo arp, ipconfig, netstat, net (SigmaHQ) - Elastic: `recon_commands_activity` - rule comportamental que correlaciona múltiplos comandos de discovery em jánela de tempo ## Referências Adicionais - [MITRE ATT&CK - S0099](https://attack.mitre.org/software/S0099) - [SigmaHQ - Suspicious Network Recon Activity](https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_susp_recon_network_activity.yml) - 2024