117471
Oct 08, 2020, updated at 14:53:44 (UTC)
3411
2
0
WPAD-Übeltäter entlarven
Hallo,
ich beobachte, dass Windows-Computer permanent nach Proxykonfigurationen suchen bzw. einen nslookup auf wpad.meinedomain.local o.Ä. machen. Ich habe "an allen Ecken und Enden keinen Proxy verwenden" konfiguriert. Unter Anderem:
Es kommen immer noch hunderte von Anfragen pro Stunde (sic!). Wie kann ich den Übeltäter entlarfen? Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Ich bin mir durchaus bewusst, dass ich die DNS-Anfragen durch einen beherzten Eingriff in die Hosts-Datei unterbinden könnte. Es ist "eher ein Forschungsprojekt"...
Liebe Grüße,
Jörg
ich beobachte, dass Windows-Computer permanent nach Proxykonfigurationen suchen bzw. einen nslookup auf wpad.meinedomain.local o.Ä. machen. Ich habe "an allen Ecken und Enden keinen Proxy verwenden" konfiguriert. Unter Anderem:
- in Firefox
- in Thunderbird
- in der Systemsteuerung
- in Edge
- in den Updatefunktion aller Programme im SysTray
- in Steam & Co.
Es kommen immer noch hunderte von Anfragen pro Stunde (sic!). Wie kann ich den Übeltäter entlarfen? Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Ich bin mir durchaus bewusst, dass ich die DNS-Anfragen durch einen beherzten Eingriff in die Hosts-Datei unterbinden könnte. Es ist "eher ein Forschungsprojekt"...
Liebe Grüße,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator tomolpi am Oct 08, 2020 um 14:53:41 Uhr
Titel korrigiert
Content-Key: 611155
Url: https://administrator.de/contentid/611155
Printed on: April 19, 2024 at 22:04 o'clock
2 Comments
Latest comment
Hier auch?
Oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad => WPadOverride
https://stackoverflow.com/questions/15029615/how-to-turn-off-disable-web ...
Oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad => WPadOverride
https://stackoverflow.com/questions/15029615/how-to-turn-off-disable-web ...
Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Dafür gibt's den Process Monitor oder TCPView
Hallo,
danke für den Tipp. Der war zwar nicht goldrichtig, aber angeregt durch den Hinweis auf die Sysinternals habe ich etwas gefunden:
In meinem Fall war / ist es der "WinHTTP-Web Proxy Auto-Discovery-Dienst". Und eigentlich hätte man "auch so" drauf kommen können
Das ist doch "eigentlich" ein Sicherheitsloch? Ich meine - wenn ich mich mit dem Hostnamen in ein LAN hänge, kann ich mich zumindest schon mal für http als MitM aufschalten?
Übrigens scheint es gar nicht so trivial zu sein, den Dienst einfach abzuschalten. Die Empfehlungen gehen wohl eher in die Richtung, "NetBIOS über TCP/IP" zu deaktivieren. Hier bin ich mir aber auch noch nicht so über die Konsequenzen bewusst...?!?
Gruß,
Jörg
danke für den Tipp. Der war zwar nicht goldrichtig, aber angeregt durch den Hinweis auf die Sysinternals habe ich etwas gefunden:
- mit dem Sysmon kann man die DNS-Queries in die Ereignisanzeige malen lassen
- mit dem Process Explorer kann man die identifizierte Process-ID einem Dienst zuordnen
In meinem Fall war / ist es der "WinHTTP-Web Proxy Auto-Discovery-Dienst". Und eigentlich hätte man "auch so" drauf kommen können
Das ist doch "eigentlich" ein Sicherheitsloch? Ich meine - wenn ich mich mit dem Hostnamen in ein LAN hänge, kann ich mich zumindest schon mal für http als MitM aufschalten?
Übrigens scheint es gar nicht so trivial zu sein, den Dienst einfach abzuschalten. Die Empfehlungen gehen wohl eher in die Richtung, "NetBIOS über TCP/IP" zu deaktivieren. Hier bin ich mir aber auch noch nicht so über die Konsequenzen bewusst...?!?
Gruß,
Jörg
