{"id":720,"date":"2025-10-05T21:29:34","date_gmt":"2025-10-05T19:29:34","guid":{"rendered":"https:\/\/activum24.pl\/?p=720"},"modified":"2025-10-05T22:30:14","modified_gmt":"2025-10-05T20:30:14","slug":"moj-pc-atakuje-microsoft-analiza","status":"publish","type":"post","link":"https:\/\/activum24.pl\/index.php\/2025\/10\/05\/moj-pc-atakuje-microsoft-analiza\/","title":{"rendered":"M\u00f3j PC atakuje Microsoft? Analiza – Sysmon"},"content":{"rendered":"\n

Sophos zaraportowa\u0142 mi, \u017ce zablokowa\u0142 pr\u00f3b\u0119 ataku CVE-2023-23969 Denial of Service Attempt. Z raportu wida\u0107 kto, kiedy atakowa\u0142 i kogo (adresy IP). Okazuje si\u0119, \u017ce m\u00f3j PC w sieci LAN pr\u00f3buje atakowa\u0107 serwery Microsoft w Dublinie, Cardiff i Amsterdamie (MICROSOFT-CORP-MSN-AS-BLOCK – ASN:8075). Nie znalaz\u0142em w internecie podobnych informacji. Musz\u0119 wi\u0119c zbada\u0107 jaki program na moi PC wywo\u0142uje te ataki.<\/p>\n\n\n\n

Uruchamiam wi\u0119c analiz\u0119….<\/strong><\/p>\n\n\n\n

Standardowo system Windows nie oferuje natywnego, szczeg\u00f3\u0142owego logowania wszystkich po\u0142\u0105cze\u0144 sieciowych inicjowanych przez programy. Wbudowane mechanizmy systemowe rejestruj\u0105 jedynie ograniczone informacje o zdarzeniach sieciowych, a dla zaawansowanego monitoringu i dok\u0142adnego powi\u0105zania po\u0142\u0105cze\u0144 z procesami potrzebne s\u0105 dodatkowe narz\u0119dzia.<\/p>\n\n\n\n

Jednym z najpopularniejszych i najskuteczniejszych rozwi\u0105za\u0144 jest narz\u0119dzie Sysmon (System Monitor) z pakietu Sysinternals, kt\u00f3re umo\u017cliwia szczeg\u00f3\u0142owe logowanie zdarze\u0144 systemowych, w tym po\u0142\u0105cze\u0144 sieciowych wraz z identyfikatorem procesu i nazw\u0105 programu. Sysmon zapisuje te dane do dziennik\u00f3w systemowych, co pozwala administratorom i specjalistom ds. bezpiecze\u0144stwa dog\u0142\u0119bnie analizowa\u0107 aktywno\u015b\u0107 sieciow\u0105 i wykrywa\u0107 podejrzane dzia\u0142ania.<\/p>\n\n\n\n

Dzi\u0119ki takiemu podej\u015bciu mo\u017cliwe jest monitorowanie w czasie rzeczywistym, logowanie oraz analiza powi\u0105za\u0144 pomi\u0119dzy procesami a ruchem sieciowym, co wykracza daleko poza mo\u017cliwo\u015bci standardowych log\u00f3w Windows i jest kluczowe w ochronie przed zaawansowanymi zagro\u017ceniami.<\/p>\n\n\n\n

Uruchomienie narz\u0119dzia…<\/strong><\/p>\n\n\n\n

    \n
  1. Instalacja – https:\/\/download.sysinternals.com\/files\/Sysmon.zip<\/a><\/li>\n\n\n\n
  2. Konfiguracja
    <\/li>\n<\/ol>\n\n\n\n
    <Sysmon schemaversion=\"4.90\">\n  <HashAlgorithms>SHA256<\/HashAlgorithms>\n    <EventFiltering>\n\t\t<NetworkConnect onmatch=\"exclude\">\n\t\t\t<Image condition=\"is\">C:\\Windows\\System32\\svchost.exe<\/Image>\n\t\t<\/NetworkConnect>\n\t<\/EventFiltering>\n<\/Sysmon><\/code><\/pre>\n\n\n\n
    3. Komendy<\/p>\n\n\n\n
    Uruchomienie-instalacja\nC:\\Users\\Biuro\\Downloads\\Sysmon\\Sysmon64.exe -accepteula -i .\\network.xml\n\nWy\u0142\u0105czenie\nC:\\Users\\Biuro\\Downloads\\Sysmon\\Sysmon64.exe -u\n\nWeryfikacja \nC:\\Users\\Biuro\\Downloads\\Sysmon\\Sysmon64.exe -c\n<\/code><\/pre>\n\n\n\n
    4. Weryfikacja – logowanie po\u0142\u0105cze\u0144 sieciowych<\/p>\n\n\n\n
    System Monitor v15.15 - System activity monitor\nBy Mark Russinovich and Thomas Garnier\nCopyright (C) 2014-2024 Microsoft Corporation\nUsing libxml2. libxml2 is Copyright (C) 1998-2012 Daniel Veillard. All Rights Reserved.\nSysinternals - www.sysinternals.com\n\nCurrent configuration:\n - Service name:                  Sysmon64\n - Driver name:                   SysmonDrv\n - Config file:                   .\\network.xml\n - Config hash:                   SHA256=05C043E1C53B03E2B938662220C1B786CCB162D4C8F8E69CBA0AB67E5FF161C1\n\n - HashingAlgorithms:             SHA256\n - Network connection:            enabled\n - Archive Directory:             -\n - Image loading:                 disabled\n - CRL checking:                  enabled\n - DNS lookup:                    enabled\n\nRule configuration (version 4.90):\n - NetworkConnect                     onmatch: exclude   combine rules using 'And'\n        Image                          filter: is           value: 'C:\\Windows\\System32\\svchost.exe'<\/code><\/pre>\n\n\n\n
    Podgl\u0105d rejestrowanych po\u0142\u0105cze\u0144<\/strong>…<\/p>\n\n\n\n
    Po\u0142\u0105czenia mo\u017cemy obserwowa\u0107 poprzez Podgl\u0105d zdarze\u0144 w sekcji:
    Dziennik aplikacji i us\u0142ug -> Microsoft -> Windows ->Sysmon ->Operational<\/em><\/p>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    Mam ju\u017c logowanie po\u0142\u0105cze\u0144 aktywne teraz trzeba czeka\u0107 na kolejne ataki….
    <\/p>\n\n\n\n
    No i z\u0142apa\u0142em winowajc\u0119<\/strong>… – gamingservices.exe<\/strong><\/p>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    A ju\u017c si\u0119 ba\u0142em, \u017ce to jaki\u015b wirus\/malware… a to produkt Microsoft?
    <\/p>\n\n\n
    \n
    \"\"<\/figure>\n<\/div>\n\n\n
    C:\\Program Files\\WindowsApps\\Microsoft.GamingServices_31.105.23001.0_x64__8wekyb3d8bbwe\\<\/code>
    gamingservices.exe<\/code><\/strong><\/em> to plik wykonywalny zwi\u0105zany z us\u0142ug\u0105 Microsoft Gaming Services. Jest to komponent systemu Windows, kt\u00f3ry wspiera funkcje zwi\u0105zane z grami, takie jak uruchamianie i zarz\u0105dzanie tytu\u0142ami z Microsoft Store, Xbox i Game Pass. Standardowo, ta us\u0142uga jest potrzebna, je\u015bli korzystasz z gier Microsoft, Xbox lub subskrypcji Game Pass. Jest to cz\u0119\u015b\u0107 ekosystemu Microsoft Gaming, zapewniaj\u0105ca p\u0142ynne dzia\u0142anie gier, ich aktualizacje i zarz\u0105dzanie. Mo\u017cesz to rozpozna\u0107 jako oficjalny komponent systemu Windows, nawet je\u015bli nie korzystasz aktywnie z gier \u2013 jest on w\u0142\u0105czany automatycznie i dzia\u0142a w tle, aby wspiera\u0107 funkcje gracza i systemu gamingowego. Je\u015bli nie u\u017cywasz gier od Microsoft, mo\u017cna pr\u00f3bowa\u0107 r\u0119cznie wy\u0142\u0105czy\u0107 t\u0119 us\u0142ug\u0119, ale odinstalowanie nie jest zalecane, bo mo\u017ce powodowa\u0107 problemy z grami w przysz\u0142o\u015bci.<\/p>\n\n\n\n
    Rzeczywi\u015bcie na PC czasami \u0142\u0105cz\u0119 si\u0119 XBOX.<\/p>\n\n\n\n
    Wszystko wi\u0119c jest w porz\u0105dku to Microsoft atakuje Microsoft.<\/p>\n\n\n
    \n
    \"\"<\/figure>\n<\/div>\n\n\n
    <\/p>\n","protected":false},"excerpt":{"rendered":"
    Sophos zaraportowa\u0142 mi, \u017ce zablokowa\u0142 pr\u00f3b\u0119 ataku CVE-2023-23969 Denial of Service Attempt. Z raportu wida\u0107 kto, kiedy atakowa\u0142 i kogo (adresy IP). Okazuje si\u0119, \u017ce m\u00f3j PC w sieci LAN pr\u00f3buje atakowa\u0107 serwery Microsoft w Dublinie, Cardiff i Amsterdamie (MICROSOFT-CORP-MSN-AS-BLOCK – ASN:8075). Nie znalaz\u0142em w internecie podobnych informacji. Musz\u0119 wi\u0119c zbada\u0107 jaki program na moi PC… <\/p>\n","protected":false},"author":1,"featured_media":721,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"categories":[58],"tags":[9,160,159,102,161,135],"class_list":["post-720","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-software","tag-monitoring","tag-network","tag-software","tag-sophos","tag-sysmon","tag-windows"],"_links":{"self":[{"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/posts\/720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/comments?post=720"}],"version-history":[{"count":5,"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/posts\/720\/revisions"}],"predecessor-version":[{"id":735,"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/posts\/720\/revisions\/735"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/media\/721"}],"wp:attachment":[{"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/media?parent=720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/categories?post=720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/activum24.pl\/index.php\/wp-json\/wp\/v2\/tags?post=720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}