117471
08.10.2020, aktualisiert um 16:53:44 Uhr
3914
2
0
WPAD-Übeltäter entlarven
Hallo,
ich beobachte, dass Windows-Computer permanent nach Proxykonfigurationen suchen bzw. einen nslookup auf wpad.meinedomain.local o.Ä. machen. Ich habe "an allen Ecken und Enden keinen Proxy verwenden" konfiguriert. Unter Anderem:
Es kommen immer noch hunderte von Anfragen pro Stunde (sic!). Wie kann ich den Übeltäter entlarfen? Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Ich bin mir durchaus bewusst, dass ich die DNS-Anfragen durch einen beherzten Eingriff in die Hosts-Datei unterbinden könnte. Es ist "eher ein Forschungsprojekt"...
Liebe Grüße,
Jörg
ich beobachte, dass Windows-Computer permanent nach Proxykonfigurationen suchen bzw. einen nslookup auf wpad.meinedomain.local o.Ä. machen. Ich habe "an allen Ecken und Enden keinen Proxy verwenden" konfiguriert. Unter Anderem:
- in Firefox
- in Thunderbird
- in der Systemsteuerung
- in Edge
- in den Updatefunktion aller Programme im SysTray
- in Steam & Co.
Es kommen immer noch hunderte von Anfragen pro Stunde (sic!). Wie kann ich den Übeltäter entlarfen? Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Ich bin mir durchaus bewusst, dass ich die DNS-Anfragen durch einen beherzten Eingriff in die Hosts-Datei unterbinden könnte. Es ist "eher ein Forschungsprojekt"...
Liebe Grüße,
Jörg
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator tomolpi am 08.10.2020 um 16:53:41 Uhr
Titel korrigiert
Content-ID: 611155
Url: https://administrator.de/forum/wpad-uebeltaeter-entlarven-611155.html
Ausgedruckt am: 02.06.2025 um 21:06 Uhr
2 Kommentare
Neuester Kommentar
Hier auch?
Oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad => WPadOverride
https://stackoverflow.com/questions/15029615/how-to-turn-off-disable-web ...
Oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad => WPadOverride
https://stackoverflow.com/questions/15029615/how-to-turn-off-disable-web ...
Mit Wireshark und Co. erhält man ja leider keinen Blick auf die Prozesse bzw. deren Anfragen.
Dafür gibt's den Process Monitor oder TCPView
Hallo,
danke für den Tipp. Der war zwar nicht goldrichtig, aber angeregt durch den Hinweis auf die Sysinternals habe ich etwas gefunden:
In meinem Fall war / ist es der "WinHTTP-Web Proxy Auto-Discovery-Dienst". Und eigentlich hätte man "auch so" drauf kommen können
Das ist doch "eigentlich" ein Sicherheitsloch? Ich meine - wenn ich mich mit dem Hostnamen in ein LAN hänge, kann ich mich zumindest schon mal für http als MitM aufschalten?
Übrigens scheint es gar nicht so trivial zu sein, den Dienst einfach abzuschalten. Die Empfehlungen gehen wohl eher in die Richtung, "NetBIOS über TCP/IP" zu deaktivieren. Hier bin ich mir aber auch noch nicht so über die Konsequenzen bewusst...?!?
Gruß,
Jörg
danke für den Tipp. Der war zwar nicht goldrichtig, aber angeregt durch den Hinweis auf die Sysinternals habe ich etwas gefunden:
- mit dem Sysmon kann man die DNS-Queries in die Ereignisanzeige malen lassen
- mit dem Process Explorer kann man die identifizierte Process-ID einem Dienst zuordnen
In meinem Fall war / ist es der "WinHTTP-Web Proxy Auto-Discovery-Dienst". Und eigentlich hätte man "auch so" drauf kommen können
Das ist doch "eigentlich" ein Sicherheitsloch? Ich meine - wenn ich mich mit dem Hostnamen in ein LAN hänge, kann ich mich zumindest schon mal für http als MitM aufschalten?
Übrigens scheint es gar nicht so trivial zu sein, den Dienst einfach abzuschalten. Die Empfehlungen gehen wohl eher in die Richtung, "NetBIOS über TCP/IP" zu deaktivieren. Hier bin ich mir aber auch noch nicht so über die Konsequenzen bewusst...?!?
Gruß,
Jörg
