Networkforensic

Cyber threat hunting

The Big Hack

 04 Oktober 2018  - Blog Post # 700

Hvem kan stole på hvem ?
Tja det er nok det store spørgsmål. Kan vi stole på udstyr lavet i US ? eller kan vi stole på udstyr lavet i Kina ?

Nu er der ikke kommet nogen IOC'er på noget af det her endnu...men håber det kommer. Jeg kan kun anbefale meget kraftigt at man læser artiklen igennem.



WinHTTP Web Proxy Auto-Discovery Service

 02 Oktober 2018  - Blog Post # 699

Dårlig karma i Window 10
I forbindelse med en opgradering eller patchning i Windows 10 er det ikke længere muligt for brugerer med selv admin rettigheder at stoppe for WinHTTP Web Proxy Auto-Discovery Service.

Denne service gør det bla. andet muligt at benytte wpad som der har været problemer med tidligere i forhold til Man In The Middel Attacks. Jeg følger selv en politk hvor denne service skal være slået fra på alle mine enheder, således at de ikke kan blive udsat for dette og det indebærer bla. at jeg stopper denne service. Microsoft indførte wpad således at der kunne laves automatisk proxy configurationer. Mange benytter ikke dette og det er startet som default på alle Windows maskiner siden 2000 / XP hvilket jeg finder meget tåbeligt.

Jeg finder bla i rigtig mange virksomheder at dette ikke er slået fra og hvor WPAD heller ikke er opsat i infrastrukturen hvilket gør deres pc'er til lettet mål.



Hvordan slår man det fra
Det kan kun gører med et reghack med følgende
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc]
"Start"=dword:00000004

Du kan hente en zip fil med reghacket her - Udpak og kør filen med admin rettigheder genstart herefter.

IDS rule frigivet
Jeg har lavet en POLICY IDS rule der spotter såfremt WinHTTP Web Proxy Auto-Discovery Service kører fra en PC.

 NF IDS Rules
5 Latest Updates 

TOR v8 starting 

11 Generic rules

Generic DNS Response

Apache Struts
 
Image file trick

Download