Windows 10 Pi-Hole und DNS Anfragen oder Telemetrie?

[phw]

Hallo Community,

heute muss ich mich mal an euch wenden in der Hoffnung jemanden ist schon mal etwas ähnliches aufgefallen. In meinem Netzwerk arbeitet ein DNS Server auf Basis des Pi-Hole Projektes. Wie gewünscht bekommen die Clients mit dem passenden DNS im Intranet und alle Systeme laufen "geschützt" dahinter ohne Probleme, inklusive des Frontends vom (Pi-Hole) Server.

Jetzt die eigentliche "Merkwürdigkeit", weil die Daten ja grafisch aufgearbeitet werden und ich als Nutzer dadrüber in Kentniss gesetzt werde habe ich mir dies mal einige Tage angeschaut und war teilweise erstaunt das wirklich an die 20% des Webverkehrs schon aussortiert werden. Allerdings fielen mir Domains ins Auge, von den ich schon mal gelesen habe ich sie aber nicht "aktiv" besuche oder nutze.

Bei den Eindeutigen "Telemetrie" Domains von Microsoft kann ich ja erkennen sogar abstellen, wenn man mal die "Fehlerberichte" löscht, damit er nicht ständig versucht dort abhilfe zu suchen. Allerdings fielen mir denn Domains wie "filecrypt.cc" und "pr0gramm.com" ins Auge, die Eine Seite durch Filter blockiert die andere nicht, aber ein Image-Board benötige ich eigentlich nicht.


Nun stellte sich mir aber die Frage, wer oder was ruft denn ständig diese Websites auf, nachdem der PC inspiziert wurde und "so" kein fragwürdiges Verhalten oder gar Anwendungen gefunden werden konnten, warf ich mal den "Windows Network Monitor" an um den Verkehr des Systemes mitzuschneiden, in der Hoffnung zu erkennen "wer oder was" diese Verbindung aufbauen möchte.

Exakt alle 2 Minuten sehe ich dann folgende Einträge:



Letztendlich lande ich dann beim "storecatalogrevocation.storequality.microsoft.com" was für mich nach der Website von Microsoft -> KLICK aber keinen Sinn ergibt warum er ständig diese Verbindungen kontrolliert? Hinzu kommt aus dem "Windows Store" habe ich nur jenes drauf was sich quasi nicht löschen lässt, Updates waren bis dato immer deaktiviert, diese habe ich nun mal aktualisiert, ohne Erfolg.

Habt ihr schon einmal ähnliches beobachten können und habt ihr ne Idee wie ich dies abstellen kann?

 

[HisN]

habt ihr ne Idee wie ich dies abstellen kann?

Du entfernst die Malware von Deinem Rechner?

 

[phw]

Du entfernst die Malware von Deinem Rechner?

Möchtest du noch etwas präziser werden?

 

[HisN]

Naja, da Windows "von sich aus" diese Domains nicht aufruft, ist es ein Programm das bei Dir läuft.
Da Du das nicht "bewusst" auslöst, kann es doch nur eine Software sein, die das ohne Dein Wissen macht. Ergo: Malware.

Klar, kann man jetzt sagen: Darunter würden auch Deine Glotze und Dein Amazon-Gesponsortes Tablett fallen, aber die rufen ja nicht unbedingt DIESE Domains auf^^

 

[phw]

Der TV hängt doch aber gar nicht am Netzwerk und das Tablett wurde nicht von Amazon Gesponsort. Aber dann gebe doch mal den Tipp wie ich vielleicht sichtbar machen kann welche "Malware" dann vermeindlich diese Verbindung aufbauen möchte?

 

[Matthew Sobol]

installiere einfach mal wireshark auf dem client um rauszufinden was die genannten ziele aufruft.

 

[HisN]

Oh Sorry, war doch nur ein Beispiel, Du siehst doch von welcher IP es aufgerufen wird. Ich muss dagegen raten, und ich rate dass es Dein PC ist.
Du kannst es mit Process Monitor von Sysinternals versuchen. Oder einfach generell mal ein Malwarescan bei Dir starten, nach meinem Hinweis auf Malware^^
Unser Problem ist doch: Wenn es nicht absolut typisch ist, ist es für uns doch fast unmöglich zu raten was Du so an Software installiert hast :-)

 

[phw]

installiere einfach mal wireshark auf dem client um rauszufinden was die genannten ziele aufruft.

Genau das zeigt mir weder das "Microsoft Network Monitor" noch "Wireshark" an.

Oh Sorry, war doch nur ein Beispiel, Du siehst doch von welcher IP es aufgerufen wird. Ich muss dagegen raten, und ich rate dass es Dein PC ist.

Aufgrund der IP ist es der einzige Windows 10 PC im Netzwerk, das ist korrekt.

Du kannst es mit Process Monitor von Sysinternals versuchen. Oder einfach generell mal ein Malwarescan bei Dir starten, nach meinem Hinweis auf Malware^^

MalwareBytes und die aktuelle ct desinfect haben keinerlei "Bedrohungen" finden können

Dann suchen wir mal weiter...

 

[Matthew Sobol]

Genau das zeigt mir weder das "Microsoft Network Monitor" noch "Wireshark" an.

kann ich mir ehrlich gesagt nicht vorstellen.

sicher dass von der ip adresse dieses PCs die ziele aufgerufen werden?

 

[trpna]

Hast du ein Gast-WLAN? Hängt der Rechner per LAN am Netz? Dann schalte mal das WLAN aus um sicher zustellen, dass es dein Gerät ist.

Welche Prozesse laufen im Hintergrund? Task-Manager?

Ich habe mein Pihole mit weiteren Listen auf rund 500'000 Einträge erhöht, 34% blocked und keine Beeinträchtigungen beeim Surfen. Schon bedenklich, dass ein Drittel aller DNS Anfragen nur Werbung, Tracking und Scam ist.

 

[phw]

So nachdem ich nun jegliche Software einmal umgedreht habe und mit Wireshark nicht rausbekommen habe welcher Prozess die DNS Abfrage stellt und auch via netstat sowie Process Explorer und Monitor von Sysinternals gequält habe.

Und auch wenn das Monitoring Tool auf dem System läuft wo der Prozess initiert wird, zeigt spezielle jetzt der Windows Network Monitor und Wireshark es nicht an. Dann habe ich die Windows Firewall bemüht alles zu loggen und mir anzuzeigen was die Software so treibt, ihr werdet es nicht glauben. Auch hier sehe ich "was" aber nicht von "wem".

Die nächste Überlegung war eine Personal Firewall zu nehmen und dort explizit dran herum zu schrauben, ich wollte mir aber sparen ein Vollbackup des Systems wieder herzustellen, jetzt extra eine "Security Suite" installieren die mehr bremst als hilft, überzeugte mich nicht.

Dann stolperte ich über das Tool "Glasswire" was ich erst einmal in einer virtuellen Maschine beäugte, denn hier schien mir anhand viele Beschreibungen vor allem Bilder die Möglichkeit zu bestehen den "Netzwerkverkehr" nach Anwendungen aufzuzeichnen.

Tatsächlich, rufe ich den Browser auf und gebe die URL ein kann man dies separat erkennen, also nativ rein ins System mit dem Glasswire und mal schauen. Das Ende vom Lied, die svchost.exe ruft exakt die Domains auf.

Jetzt kam ein wenig Zufall ins Dunkel, bevor ich noch weiter nach Malware und Co suchen musste, an meinem Flipchart waren einige Notizen u.a. besagte Domains aufgeführt. Meine Tochter äußerte denn was ich auf den Seiten suche, sie hätte wohl das Image-Board erkannt und eingeräumt von meinem PC gingen diese ja nicht ohne weiteres aufzurufen. Die Domains waren als "Ausnahmen" in "Malwarebytes" hinzugefügt und wurden dort vom Programm her wohl vollautomatisch alle 2 Minuten angesprochen, dies wird aber als Service aus der svchost durchgeführt daher die Maskierung.

Ohne die Auswertung (Top Domains) des Pihole Logs wäre ich wohl nie dadrüber gestolpert und alles wäre einfach so weiter gelaufen. Vielen Dank für eure Hilfe am Ende war es im Übertragenden Sinne die "Malware", somit hat @HisN die Waschmaschine gewonnen.

@trpna eigentlich empfinde ich die Zahl schon bald als erschreckend so bereichert man sich an "uns". Anscheinend verdiennt man Heutzuage wohl so ausreichend Geld.

 

[HisN]

*knix*
Danke für die Rückmeldung.