Sophos zaraportował mi, że zablokował próbę ataku CVE-2023-23969 Denial of Service Attempt. Z raportu widać kto, kiedy atakował i kogo (adresy IP). Okazuje się, że mój PC w sieci LAN próbuje atakować serwery Microsoft w Dublinie, Cardiff i Amsterdamie (MICROSOFT-CORP-MSN-AS-BLOCK – ASN:8075). Nie znalazłem w internecie podobnych informacji. Muszę więc zbadać jaki program na moi PC wywołuje te ataki.
Uruchamiam więc analizę….
Standardowo system Windows nie oferuje natywnego, szczegółowego logowania wszystkich połączeń sieciowych inicjowanych przez programy. Wbudowane mechanizmy systemowe rejestrują jedynie ograniczone informacje o zdarzeniach sieciowych, a dla zaawansowanego monitoringu i dokładnego powiązania połączeń z procesami potrzebne są dodatkowe narzędzia.
Jednym z najpopularniejszych i najskuteczniejszych rozwiązań jest narzędzie Sysmon (System Monitor) z pakietu Sysinternals, które umożliwia szczegółowe logowanie zdarzeń systemowych, w tym połączeń sieciowych wraz z identyfikatorem procesu i nazwą programu. Sysmon zapisuje te dane do dzienników systemowych, co pozwala administratorom i specjalistom ds. bezpieczeństwa dogłębnie analizować aktywność sieciową i wykrywać podejrzane działania.
Dzięki takiemu podejściu możliwe jest monitorowanie w czasie rzeczywistym, logowanie oraz analiza powiązań pomiędzy procesami a ruchem sieciowym, co wykracza daleko poza możliwości standardowych logów Windows i jest kluczowe w ochronie przed zaawansowanymi zagrożeniami.
Uruchomienie narzędzia…
- Instalacja – https://download.sysinternals.com/files/Sysmon.zip
- Konfiguracja
<Sysmon schemaversion="4.90">
<HashAlgorithms>SHA256</HashAlgorithms>
<EventFiltering>
<NetworkConnect onmatch="exclude">
<Image condition="is">C:\Windows\System32\svchost.exe</Image>
</NetworkConnect>
</EventFiltering>
</Sysmon>3. Komendy
Uruchomienie-instalacja
C:\Users\Biuro\Downloads\Sysmon\Sysmon64.exe -accepteula -i .\network.xml
Wyłączenie
C:\Users\Biuro\Downloads\Sysmon\Sysmon64.exe -u
Weryfikacja
C:\Users\Biuro\Downloads\Sysmon\Sysmon64.exe -c
4. Weryfikacja – logowanie połączeń sieciowych
System Monitor v15.15 - System activity monitor
By Mark Russinovich and Thomas Garnier
Copyright (C) 2014-2024 Microsoft Corporation
Using libxml2. libxml2 is Copyright (C) 1998-2012 Daniel Veillard. All Rights Reserved.
Sysinternals - www.sysinternals.com
Current configuration:
- Service name: Sysmon64
- Driver name: SysmonDrv
- Config file: .\network.xml
- Config hash: SHA256=05C043E1C53B03E2B938662220C1B786CCB162D4C8F8E69CBA0AB67E5FF161C1
- HashingAlgorithms: SHA256
- Network connection: enabled
- Archive Directory: -
- Image loading: disabled
- CRL checking: enabled
- DNS lookup: enabled
Rule configuration (version 4.90):
- NetworkConnect onmatch: exclude combine rules using 'And'
Image filter: is value: 'C:\Windows\System32\svchost.exe'Podgląd rejestrowanych połączeń…
Połączenia możemy obserwować poprzez Podgląd zdarzeń w sekcji:
Dziennik aplikacji i usług -> Microsoft -> Windows ->Sysmon ->Operational
Mam już logowanie połączeń aktywne teraz trzeba czekać na kolejne ataki….
No i złapałem winowajcę… – gamingservices.exe
A już się bałem, że to jakiś wirus/malware… a to produkt Microsoft?
C:\Program Files\WindowsApps\Microsoft.GamingServices_31.105.23001.0_x64__8wekyb3d8bbwe\gamingservices.exe to plik wykonywalny związany z usługą Microsoft Gaming Services. Jest to komponent systemu Windows, który wspiera funkcje związane z grami, takie jak uruchamianie i zarządzanie tytułami z Microsoft Store, Xbox i Game Pass. Standardowo, ta usługa jest potrzebna, jeśli korzystasz z gier Microsoft, Xbox lub subskrypcji Game Pass. Jest to część ekosystemu Microsoft Gaming, zapewniająca płynne działanie gier, ich aktualizacje i zarządzanie. Możesz to rozpoznać jako oficjalny komponent systemu Windows, nawet jeśli nie korzystasz aktywnie z gier – jest on włączany automatycznie i działa w tle, aby wspierać funkcje gracza i systemu gamingowego. Jeśli nie używasz gier od Microsoft, można próbować ręcznie wyłączyć tę usługę, ale odinstalowanie nie jest zalecane, bo może powodować problemy z grami w przyszłości.
Rzeczywiście na PC czasami łączę się XBOX.
Wszystko więc jest w porządku to Microsoft atakuje Microsoft.
