Из Презентации Black Hat_Как работает Process Monitor (продолжение)

Как работает Process Monitor (продолжение)
• Мониторинг реестра
• Для Windows 2000, Windows XP 32-bit: хуки системных вызывав
• Для Windows XP 64-bit, Server 2003 и Vista: обратный вызов реестра
• Мониторинг файловой системы
• Драйвер файловой системы
• Загрузка образов
• Обратный вызов менеджера памяти загрузки образа
• Процесс/поток создание/завершение
• Обратный вызов процесса/потока ядра
• TCP/IP
• ETW события, созданные TCPIP.sys

Классы событий

• Файловая система (Filemon)
• Включая команду I/O и детали ввода и вывода
• Реестр (Regmon)
• Включает все данные (первую 16-битную часть REG_BINARY и первые 2048 байт для остальных типов)
• Процесс
• Создание и завершение процессов
• Создание и завершение потоков
• Загрузки образов, включая драйвера
• Сеть
• Трассировка сети
• Профилактики
• Вспомогательные инструменты для создания снимков процессов


Свойства события
• Детали события
• Продолжительность, процесс, поток, детали и тому подобное
• Информация о процессе
• Командная строка
• Пользователь
• Сессия и вход в сессию
• Образ информации
• Время начала
• Стек потока на время события



Фильтрация
• Чтобы отфильтровать какое-то значение, кликните правой кнопкой по линии и выберете атрибуты и из Include (включить), Exclude (исключить) или Highlight (выделить цветом)
• Вы можете выбрать несколько свойств одновременно
• Когда у Вас установлен фильтр «выделить по цвету», Вы можете двигаться по выделенным свойствам события

Атаки на инфраструктуры_Электроэнергетика

Для меня настала жаркая пора. Так что прошу прощения за нерегулярное обновление блога и немного видоизменнеую тематику, но как бы там ни было, говорить будем о жизни в информационном обществе, о том, откуда можно ожидать угроз, связанных с процессорной техникой. Именно процессорной и сетевой.
Начиная этот блог я рассказывал о нарушении в работе сетевого района. Не прошел и год, как я снова вернулся к тематике кибер-атак на объекты инфраструктуры, и соответственно теме книги, послужившей идеи блога.
Мы уже теоретически можем оценить вред, нанесенный кибер-атакой инфраструктуре. Почему-то в России исследований относительно кибер-безопасности энергосетевого комплекса я не нашел. В то время, как энергетика является основой нашей сегодняшней цивилизации – исправьте меня, если я неправ. (Более подробно о кризисе, связанном с системными авариями на объектах энергетики я планирую рассказать в рамках моего нового блога, так что множите следить и за ним, но его тематика более специализированная, хотя я и планирую оформить его в виде повести, где основной линией будет любовь, естественно главного героя к главной героине, но обо всем по порядку).
Итак, у нас есть лампочка, которая освещает ночную темноту, есть розетка от которой заряжаются ноуты, телефоны либо же работают стационарные компьютеры. За потребленную электроэнергию производится расчет по счетчику, собственно говоря, больше про электричество и знать-то не за чем, ну нужно иметь и номерок ремонтников – вот и все.
Как я говорил выше, исследования относительно кибер-безопасности электрических сетей не проводились, поэтому давайте посмотрим, откуда может придти угроза:

• Потеря управления сетью по причине либо полного выхода сети из строя, либо же фальсификации данных между оборудованием и центром управления
• Проблемы на потребительском уровне возможны из-за фальсификации данных с базы
• Изменены параметры станций для электрифицированного транспорта, изменение параметров зарядки аккумуляторов
• Конфиденциальность данных нарушений, как личные, так и корпоративные. Возможна кража как личных данных, так и корпоративный шпионаж, физические угрозы безопасности (например, если известны какие дома пустуют), и террористической деятельности (например, через для изучения наиболее загруженных линий электропередач)

Данные не вымышлены, взяты из докладов Массачусетского технологического института. С полной уверенностью могу сказать, что для России угрозы аналогичные. Крайние три угрозы являются общими для инфраструктуры, что же касается первой – на ней задержимся более подробно, но чуть позже.