WPAD-Übeltäter entlarven

altmetaller
Goto Top
Hallo,

ich beobachte, dass Windows-Computer permanent nach Proxykonfigurationen suchen bzw. einen nslookup auf wpad.meinedomain.local o.Ä. machen. Ich habe "an allen Ecken und Enden keinen Proxy verwenden" konfiguriert. Unter Anderem:
  • in Firefox
  • in Thunderbird
  • in der Systemsteuerung
  • in Edge
  • in den Updatefunktion aller Programme im SysTray
  • in Steam & Co.

Es kommen immer noch hunderte von Anfragen pro Stunde (sic!). Wie kann ich den Übeltäter entlarfen? Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.

Ich bin mir durchaus bewusst, dass ich die DNS-Anfragen durch einen beherzten Eingriff in die Hosts-Datei unterbinden könnte. Es ist "eher ein Forschungsprojekt"... :-) face-smile

Liebe Grüße,
Jörg
Kommentar vom Moderator tomolpi am 08.10.2020 um 16:53:41 Uhr
Titel korrigiert

Content-Key: 611155

Url: https://administrator.de/contentid/611155

Ausgedruckt am: 24.05.2022 um 20:05 Uhr

Mitglied: 146189
Lösung 146189 08.10.2020 aktualisiert um 11:37:55 Uhr
Goto Top
Hier auch?

screenshot

Oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad => WPadOverride

https://stackoverflow.com/questions/15029615/how-to-turn-off-disable-web ...

Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Dafür gibt's den Process Monitor oder TCPView
Mitglied: altmetaller
altmetaller 08.10.2020 um 14:11:16 Uhr
Goto Top
Hallo,

danke für den Tipp. Der war zwar nicht goldrichtig, aber angeregt durch den Hinweis auf die Sysinternals habe ich etwas gefunden:
  • mit dem Sysmon kann man die DNS-Queries in die Ereignisanzeige malen lassen
  • mit dem Process Explorer kann man die identifizierte Process-ID einem Dienst zuordnen

In meinem Fall war / ist es der "WinHTTP-Web Proxy Auto-Discovery-Dienst". Und eigentlich hätte man "auch so" drauf kommen können :-) face-smile

Das ist doch "eigentlich" ein Sicherheitsloch? Ich meine - wenn ich mich mit dem Hostnamen in ein LAN hänge, kann ich mich zumindest schon mal für http als MitM aufschalten?

Übrigens scheint es gar nicht so trivial zu sein, den Dienst einfach abzuschalten. Die Empfehlungen gehen wohl eher in die Richtung, "NetBIOS über TCP/IP" zu deaktivieren. Hier bin ich mir aber auch noch nicht so über die Konsequenzen bewusst...?!?

Gruß,
Jörg