gelöst WPAD-Übeltäter entlarven

Mitglied: altmetaller

altmetaller (Level 3) - Jetzt verbinden

08.10.2020, aktualisiert 16:53 Uhr, 457 Aufrufe, 2 Kommentare

Hallo,

ich beobachte, dass Windows-Computer permanent nach Proxykonfigurationen suchen bzw. einen nslookup auf wpad.meinedomain.local o.Ä. machen. Ich habe "an allen Ecken und Enden keinen Proxy verwenden" konfiguriert. Unter Anderem:
  • in Firefox
  • in Thunderbird
  • in der Systemsteuerung
  • in Edge
  • in den Updatefunktion aller Programme im SysTray
  • in Steam & Co.

Es kommen immer noch hunderte von Anfragen pro Stunde (sic!). Wie kann ich den Übeltäter entlarfen? Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.

Ich bin mir durchaus bewusst, dass ich die DNS-Anfragen durch einen beherzten Eingriff in die Hosts-Datei unterbinden könnte. Es ist "eher ein Forschungsprojekt"...

Liebe Grüße,
Jörg
Kommentar vom Moderator tomolpi am 08.10.2020 um 16:53:41 Uhr
Titel korrigiert
Mitglied: window
LÖSUNG 08.10.2020, aktualisiert um 11:37 Uhr
Hier auch?

screenshot - Klicke auf das Bild, um es zu vergrößern

Oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad => WPadOverride

https://stackoverflow.com/questions/15029615/how-to-turn-off-disable-web ...

Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Dafür gibt's den Process Monitor oder TCPView
Bitte warten ..
Mitglied: altmetaller
08.10.2020 um 14:11 Uhr
Hallo,

danke für den Tipp. Der war zwar nicht goldrichtig, aber angeregt durch den Hinweis auf die Sysinternals habe ich etwas gefunden:
  • mit dem Sysmon kann man die DNS-Queries in die Ereignisanzeige malen lassen
  • mit dem Process Explorer kann man die identifizierte Process-ID einem Dienst zuordnen

In meinem Fall war / ist es der "WinHTTP-Web Proxy Auto-Discovery-Dienst". Und eigentlich hätte man "auch so" drauf kommen können

Das ist doch "eigentlich" ein Sicherheitsloch? Ich meine - wenn ich mich mit dem Hostnamen in ein LAN hänge, kann ich mich zumindest schon mal für http als MitM aufschalten?

Übrigens scheint es gar nicht so trivial zu sein, den Dienst einfach abzuschalten. Die Empfehlungen gehen wohl eher in die Richtung, "NetBIOS über TCP/IP" zu deaktivieren. Hier bin ich mir aber auch noch nicht so über die Konsequenzen bewusst...?!?

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

LAN, WAN, Wireless
Studentenwohnheim LAN Anschluss mit Router verbinden
SchweisserFrageLAN, WAN, Wireless8 Kommentare

Hallo Leute, ich habe zu dem Thema schon einige Beiträge gelesen, konnte aber für meinen Fall bisher keine funktionierende ...

Humor (lol)
Wir werden alt
Dilbert-MDFrageHumor (lol)7 Kommentare

Themenbereich OT Neulich bei einem IT-Problem: Ein IT-Problem ist kein Problem, wenn man die richtigen Suchbegriffe und Fachwörter in ...

DNS
DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt
DerDummePeterFrageDNS7 Kommentare

Moin, ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu ...

Ähnliche Inhalte
DNS
Kann wpad Eintrag nicht erstellen
gelöst Ex0r2k16FrageDNS3 Kommentare

Guten Morgen zusammen, ich kann auf meinem w2k12r2 DNS keinen DNS Eintrag für den wpad IIS Server erstellen. Also ...

Windows Netzwerk

Windows 7 Clients: WPAD wird nicht gelesen

pdiddlFrageWindows Netzwerk2 Kommentare

Hallo zusammen, seit ein paar Tagen haben wir in unserem Netzwerk folgendes Problem. PC's mit Windows 7 als Betriebbsystem ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT