Nym расшифровка: расшифровка маркировки, технические характеристики, описание

Содержание

Кабель NYM: технические характеристики, расшифровка, производители

Медный провод NYM — распространённый проводник, применяется при прокладке внутренней проводки жилых и промышленных помещений. Его можно использовать внутри многих других объектов. В этой статье подробно рассмотрено, что такое кабель NYM и где его используют.

Что такое кабель NYM

Расшифровка аббревиатуры NYM:

N — провод стандартного вида;

Y — жилы изолированы при помощи ПВХ материалов;

M — имеет наружный слой.

Как выглядит изделие

Если перед названием нет символа «А», это означает, что жилы провода выполнены из меди. Кроме основных символов через тире могут указываться J или О — с светло-зеленым проводом или без него, это означает различие в заземлении.

После букв указываются цифровые значения, которые обозначают число жил и площадь их сечения. Например, кабель NYM-J 3×3,5 — 0,66 расшифровывается как:

  • классический провод, выполненный с ПВХ изоляцией и наружной оболочкой;
  • имеет три жилы с площадью сечения 3,5 кв.
     мм в каждой;
  • применяется при напряжении не выше 660 В.

Расшифровать маркировку на проводах смогут, к сожалению, не все электрики. Поэтому желательно работать с профессионалами.

Основные характеристики провода

Технические параметры изделия

Основные технические характеристики провода NYM:

  • оптимальное напряжение не выше 660 Вольт;
  • стандартная частота — 50 Гц;
  • площадь сечения жил от 2 до 35 мм2;
  • рабочая температура от −50 до +50 градусов;
  • допустимая температура прокладки не ниже −4 градусов;
  • разрешенный радиус загиба — 4 наружных диаметра;
  • срок эксплуатации не более 30 лет;
  • гарантия на изделие 5 лет.

Внимание! Остальные характеристики можно узнать из спецификации кабельной продукции.

Сфера применения кабеля

Кабель NYM в основном применяется в разных электромонтажных работах, неважно, в бытовой сфере или промышленной. Такой вид провода преимущественно применяют для прокладки электропроводки именно в помещениях, выполненных из дерева, потому что конструкция кабеля включает в себя специальную оболочку, предотвращающую распространение огня.

Маркировка кабеля

Довольно часто его применяют для монтажа снаружи помещений, но при условии, что прямые ультрафиолетовые лучи не будут попадать на провод. Для прокладки в жилом помещении провод многожильного вида NYM обычно монтируют скрытым способом.Этот кабель используется при подключении осветительных групп или розеток. Одно из преимуществ провода — проводник можно использовать и для монтажа в почве, но рекомендуется помещать изделие в гофру, тем самым делая его безопасным.

Конструкция кабеля NYM

Основные элементы провода NYM:

  • В нем находятся токоведущие жилы, которые изготавливают из алюминия или меди, их число зависит от вида изделия и может быть от 1 до 5. Некоторые производители выпускают кабели с 7 проводниками. Площадь сечения бывает от 2 мм2 до 35 мм2, каждая из жил одинаковая по размерам.
Из чего состоит изделие
  • Изоляция провода изготавливается из ПВХ материалов и имеет свой цвет, чтобы не путаться при прокладке.

Ниже указана цветовая маркировка:

Цвет внешней оболочки проводникаОбозначение
ГолубойНейтраль (N)
Светло-зелёныйИмеет заземление
Чёрный, коричневый, серыйФазные провода.
  • Провод также имеет герметизирующую оболочку, изготовленную из невулканизированного маслонаполненного каучука, и дает высокую защитную изоляцию, а также не впитывает воду. Из-за каучука провод удерживает круглый вид и не распространяет огонь.
  • Внешняя изоляция изготавливается из листового пластика и необходима для защиты от механических повреждений и агрессивных химикатов.
Жилы разных цветов

Как выбрать провод маркировки NYM

При покупке провода NYM желательно обращать внимание на массу бухты изделия — в основном именно она служит степенью того, что изделие произведено в соответствии с правилами ГОСТа.

Опытные мастера рекомендуют отдавать предпочтение только тем производителям, которые находятся на рынке больше 10 лет.

NYM кабель считается универсальным и своей работоспособностью может заменить сразу несколько видов классических моделей изделий.

Правила прокладки провода NYM

При прокладке необходимо устанавливать силовую линию в месте, куда не попадают солнечные лучи и где критически низкие температуры.

Кабель NYM необходимо прокладывать в защищенном от контакта с детьми или животными помещении. При бережном отношении кабель сможет прослужить весь отведенный ему срок.

Прокладка в стене

При прокладке в деревянных домах рекомендуется устанавливать защитную гофру, чтобы при пожаре горение не распространилось на постройку. При монтаже в землю необходимо устанавливать кабель-каналы, которые будут защищать изделие от лишней нагрузки.

Какие возникают ошибки при применении NYM кабеля

Провод NYM в основном рекомендуется к монтажным работам в зданиях, при строительстве которых использовались древесина или легковоспламеняющиеся материалы.

Внимание! Необходимо помнить, что провод не распространяет огонь только лишь при индивидуальной прокладке.

Если необходимо использовать групповую прокладку, то желательно приобрести изделия других марок, которые имеют назначение для такого вида работ.

Разные сечения

Многие сталкиваются с проблемой прокладки провода в ванне, саунах или парилках.

В таких помещениях разрешено устанавливать этот провод. Потому что каучуковый слой плотно прилегает к изоляции провода, тем самым, мешает проникновению влаги во внутрь кабеля. Это единственные проблемы, которые могут возникнуть при использовании изделия.

Как хранить и перевозить кабель NYM

Как и другая кабельная продукция, NYM изделия нужно хранить только в сухом помещении, с небольшим процентом влажности. Иначе на кабеле может образоваться плесень или грибок. Желательно, чтобы на складе, где хранится изделие, не было грызунов, так как они могут повредить изоляционный слой провода и снизить срок его службы.

Правильное хранение

Перевозить барабаны с кабелем нужно только на специальной грузовой машине. Катушки должны стоять на боку и быть плотно закреплены между собой, чтобы они не укатились.При прокладке не рекомендуется держать изделие вблизи камней или инструментов, чтобы не порезать внешний слой изоляции. Перед прокладкой обязательно проверить кабель на наличие механических повреждений.

Если во время хранения была повреждена целостность упаковки, такой кабель, вероятнее всего, прослужит меньше заявленного срока.

Производители кабеля NYM

В настоящее время существует много фабрик по производству кабельной продукции. Чтобы не попасть на подделку, рекомендуется выбирать самые проверенные из них. Если человек затрудняется, какой же фабрике отдать предпочтение, можно посетить форум электриков, которые точно подскажут более востребованные фирмы. Ниже описано, какой производитель лучше для кабеля NYM.

Кабельная продукция на катушках

HelukabelНемецкий завод, открывший свой филиал в России с 1998 года, отлично зарекомендовал себя на рынке за это время. В наличии имеется более 30000 маркоразмеров кабелей. Производитель доставляет продукцию в любую точку мира. Минимальная длина провода под заказ 100 метров.

LappKabel

Международная фирма, основанная еще в 60 годах прошлого века. Имеет более 100 зарубежных партнеров и филиалов, которые производят изделия для промышленности, атомных и нефтяных станций, осуществляют доставку продукции в короткие сроки по воздуху или железной дороге. Фабрика имеет множество наград и побед в конкурсах.

TKD Kabel

Одна из самых крупных кабельных фабрик в Европе. Изготавливает продукцию на новейшем оборудовании. В наличии имеется более 35000 видов маркоразмеров. Выпускает новые модели проводов, которые функционируют при максимально низких температурах, с защитой от грызунов или плесени. На территории завода расположен испытательный центр, так что перед тем, как попасть на прилавок, продукция проходит тщательный контроль.

Процесс изготовления

Кабель NYM отлично себя зарекомендовал при прокладке не только в промышленности, но и в повседневной жизни. Чтобы правильно выбрать изделие, рекомендуется ориентироваться на описание вышеприведенных фабрик.

Кабель NYM цены на товары

Данная продукция, предназначенная для прокладки силовых и осветительных линий переменного тока, соответствует всем требованиям согласно европейским стандартам.

Это и предопределило высокий спрос на кабель марки NYM.

Расшифровка аббревиатуры NYM

N – соответствие евростандарту (по классификации немецких производителей).

Y – материал изоляции (ПВХ).

M – для различных условий монтажа и эксплуатации. nym-4

Особенности конструктивного исполнение кабеля NYM

Жила – однопроволочный проводник (re), материал – медь. Количество – от 1 до 5. Сечение (мм²) – от 1 до 10.

Для витой жилы (rm )– от 16 до 35 «квадратов».

Изоляция: проводников – поливинилхлорид; оболочки – ПВХ-пластикат; внутреннее заполнение кабеля – резиновая смесь, экструдированная, мелонаполненная. Она придает продукции гибкость, тем самым существенно упрощая процесс ее разделки.
Модификации кабеля: NYM-O – без обозначения заземляющего проводника;

NYM-J – с обозначением (окрас жилы – желто-зеленый). konstrukciya

Технические характеристики NYM

U раб (В) – до 660.

Температурный диапазон использования (ºС) ± 50.

Монтаж без проведения дополнительных мероприятий (подогрева) – в условиях не ниже -5 ºС.

Предельная влажность окружающей среды (%) – 98.

Радиус изгиба (минимальный) – 4 D нар.

Поставочная длина (м): в бухтах – 50, 100; на бобинах – 500.

Эксплуатационный период (лет) – 30.

Срок гарантии (лет) – 5. NYM-1

Российский аналог NYM – кабель марки ВВГз. Нередко на практике, подразумевая именно его, профессионалы называют аббревиатуру немецкого изделия, тем самым подчеркивая, что по условиям монтажа необходима продукция универсальная, гибкая и удобная в прокладке трассы.

Ограничение в использовании Прямое воздействие ультрафиолета разрушает оболочку кабеля. Поэтому он применяется в основном для внутренних работ — для электропроводки в помещениях.
 При внешней прокладке открытым способом – только в защитных рукавах, кабель-каналах и так далее.

Кабель NYM – описание, преимущества и сравнение

Сегодня на рынке электротехнической продукции можно встретить как отечественные, так и зарубежные кабели. Как часто бывает, на любой продукт находится его аналог и кабель NYM можно назвать конструктивным аналогом нашего ВВГ – поэтому не стоит обходить стороной их сравнение.

Как показал анализ ситуации – немногие специалисты и обыватели обращают внимание на NYM, и очень напрасно, так как в некоторых ситуациях он будет предпочтительнее. Разумеется, оба кабеля применяются в схожих областях, но имеют разные технические характеристики, плюсы и минусы. И если встал вопрос, какой из кабелей лучше выбрать – придется разобраться в их различиях.


Кабель NYM можно приобрети на сайте «Москабель-Комплектация»

Расшифровка кабеля NYM

Если с расшифровкой отечественных кабелей всё более или менее понятно, то с «еврокабелем» немного сложнее. Как показал сбор информации из различных источников – каждый понимает аббревиатуру по-своему, порой выдавая поразительные смысловые конструкции на уровне пятиклассника с русско-немецким словарем в руке. Поэтому, для точной интерпретации, используем оригинальный немецкий стандарт DIN 57250:

N – Normenleitung (Номенклатурный) – произведён в соответствии с техническим стандартом Германии;

Y – Isolierung der Adern aus Polyvinylchlorid – изоляция жил из поливинилхлорида;

M – Mantelleitung – кабель в оболочке.


Расшифровка кабеля NYM

Технические характеристики
Напряжение переменного тока: 0,66 кВ
Температура эксплуатации: От -50 °С до +50 °С
Максимальная влажность воздуха, при t +35 °С: 98%
Минимальная температура монтажа без прогрева: -5 °С
Минимальный радиус изгиба кабеля: 4 собственных диаметра
Строительная длина (в бухтах): 50 м
Строительная длина в барабанах: 500 м
Срок службы: 40 лет
Конструктивные особенности NYM

Кабель NYM обладает рядом различий с нашим ВВГ, которые значительно сказываются на его свойствах. Чтобы в этом разобраться, для начала рассмотрим общую конструкцию кабеля:

1. Медные однопроволочные, либо многопроволочные жилы 1-4 класса гибкости, сечением от 1,5 до 35 мм2. Количество жил варьируется от 2 до 5;
2. Изоляция жил из негорючего ПВХ пластиката с цветовой разметкой;
3. Промежуточный изоляционный слой из мелонаполненной резины;
4. Наружная оболочка из негорючего ПВХ.


На сайте «Москабель-Комплектация» можно найти кабель NYM от производителя

Кабель NYM производится по европейскому стандарту DIN 57250, который определяет его как негорючий электропроводник. В отличие от наших стандартов, в которых используется только негорючий ПВХ-пластикат, в NYM применяется слой негорючей мелонаполненной резины, находящийся между изоляцией жил и оболочкой. К тому же, состав ПВХ-пластиката значительно различается.

Преимущества и недостатки кабеля NYM

Основные достоинства кабеля NYM перед отечественными аналогами заключаются в следующем:

— Выше эластичность. Благодаря промежуточному резиновому слою и меди более высокого качества, кабель обладает большей гибкостью. Это свойство облегчает прокладку кабеля в узких каналах и труднодоступных местах, так же повышает выносливость кабеля на изгиб.
— Кабель легко зачищается. Мелонаполненный слой, за счет своей вязкости прикрывает изоляцию жил от порезов во время зачистки оболочки.
— Низкая горючесть, обеспечиваемая мелонаполненным слоем. В отличие от отечественных кабелей, в которых негорючей являются оболочка и изоляция – кабель NYM в большей степени защищен от внутренних возгораний проводки, то есть от пожаров вследствие коротких замыканий.
— Лучшая защищенность от влаги, которую обеспечивает внутреннее заполнение.

Из минусов в сравнении с отечественным ВВГ стоит выделить то, что изоляция NYM хуже выдерживает ультрафиолет – пластификаторы, входящие в состав этой версии ПВХ, со временем «выпариваются» под прямыми солнечными лучами, отчего изоляция может начать растрескиваться. Также стоит отметить, что температурные режимы в сравнение с нашим кабелем значительно уже, как при нагреве, так и при замерзании.

Сфера применения кабеля NYM

Кабель NYM считается бытовым кабелем, то есть применяется для прокладки в обычных зданиях, а не на крупных производствах или кабельных трассах. В остальном же кабель универсален и может применяться в большинстве установок напряжением до 660 Вольт, за исключением условий риска механических повреждений, агрессивных химических воздействий и экстремальных температур.
И исходя из особенностей, кабель NYM можно порекомендовать для внутренней прокладки внутри зданий и сооружений. К тому же, кабель NYM устойчив к взрывам. Кабель применим как для освещения, так и для розеток. Выводы из трансформаторов по воздуху допустимы, но только при применении армированной гофротрубы либо кабельных лотков. Также гофрированная труба понадобится для протяжки кабеля по стенам зданий. Грамотным решением будет применение кабеля NYM в деревянных домах, с целью минимизировать риск пожара от коротких замыканий.

Где приобрести кабель NYM

Теперь можно подвести краткий итог. Сравнивая NYM и ВВГ – проще сказать, что NYM для внутренней прокладки, ВВГ для внешней. Но это не совсем так: оба кабеля по-своему надежны в обеих ситуациях, поэтому, зная вышеописанные нюансы, каждый сам в праве решать, в сторону чего склонить свой выбор. Если вы заинтересовались в кабеле NYM – стоит обратить внимание на сертифицированных дилеров кабельной продукции, крупнейшим из которых является Москабель-Комплектация.

Кабель NYM: 5 несомненных достоинств


NYM J: расшифровка

Если вы серьезно подходите к выбору каждого элемента, который будет принимать участие в обустройстве вашего дома. Вам должно быть интересно, почему провод НУМ имеет такое название. Чтобы ответить на этот вопрос, мы приведем вам список, в котором имеется расшифровка, каждой отдельной буквы.

Расшифровка названия NYM:

  1. N говорит о том, что данный провод что продукция соответствует всем европейским стандартам. Данное изделие имеет все сертификаты качества, говорящие о возможности его использования в пожароопасных помещениях, а также в других комнатах.
  2. Y – этот символ расскажет вам о том, что изоляция провода изготавливается из поливинилхлорида. Несмотря на свою ненатуральность, ПВХ предохраняет проводку от возгорания и ударов током.
  3. M – может быть установлен в самых разных условиях.

Данный кабель в широком выборе представлен на прилавках магазинов. Отличить европейский провод от российского поможет маркировка на нем. Помимо кабеля NYM, существует кабель NYM J. Он имеет похожую расшифровку, которая все же отличается.

Расшифровка кабеля NYMJ:

  1. N говорит о том, что данный провод что продукция соответствует всем европейским стандартам. Данное изделие имеет все сертификаты качества, говорящие о возможности его использования в пожароопасных помещениях, а также в других комнатах.
  2. Y – этот символ расскажет вам о том, что изоляция провода изготавливается из поливинилхлорида. Несмотря на свою ненатуральность, ПВХ предохраняет проводку от возгорания и ударов током.
  3. M говорит о том, что может быть установлен в самых разных условиях.
  4. J – рассказывает о том, что в его состав входит желто-зеленый нулевой провод.

Данная расшифровка поможет вам определиться с тем, какой кабель вам нужен. Также при выборе провода, поинтересуйтесь о наличии сертификата качества изделия.

Технические характеристики кабеля NYM

Так как основоположником изобретения подобного изделия являются немцы. Поэтому он имеет строение, соответствующие европейским стандартам качества. Прежде всего, стоит отметить, что изоляция кабеля NYM имеет три слоя. Проводниками являются медные провода, первый слой изоляции которых состоит из разноцветного ПВХ. Второй слой делают из вулканической резины и полиолефиновой композиции. Последний – внешний, слой состоит из ПВХ, который является абсолютно негорючим материалом.

Основные характеристики и описание кабеля NYM:

  • Главный провод может иметь 3х2 или 3х4 схемы;
  • Жилы нумовского кабеля делаются исключительно из меди;
  • Напряжение при работе обычно не превышает 0,66 кВт;
  • Обхват жил может зависеть от такого фактора, как применение, обычно этот параметр не бывает ниже 1,5 мм;
  • Кабель NYM настолько гибкий, что чтобы он принял необходимую форму, его не придется нагревать, но заниматься монтажными работами с использованием подобного кабеля, когда температура в помещении опускается ниже – 5 нельзя.
  • Подобный кабель может выдержать электронапряжение, силой до 660 вольт.
  • Провод NYM считается достаточно пожаробезопасным, он отлично справляется с жаром и с открытым окном.

Это главные технические характеристики, которые нужно рассмотреть. От правильности выбора кабеля, будет зависеть долговечность и надежность проводки.

Кабель NYM: описание достоинств

Кабель nym имеет весьма неплохие отзывы. И не зря! Ведь такое изобретение имеет массу достоинств. Именно НУМ считается наиболее безопасным и качественным кабелем.

Кабель НУМ – это провод европейского бренда, поэтому он обладает высоким качеством и долгим сроком службы. Если вы не уверены в своих способностях установки тока, то лучше пусть такие работы сделает настоящий мастер.

Нумовский провод – это настоящая находка, для человека стремящегося сделать свой дом максимально удобным и безопасным. Чтобы вы смогли в этом убедиться, мы приведем вам некоторые его достоинства.

Преимущества провода НУМ, от европейского производителя:

  1. Кабель НУМ обладает высокой гибкостью и пластичностью. Это обусловлено наличием в его составе резиновой изоляции. Благодаря ней, вы сможете установить проводку даже в самых труднодоступных местах.
  2. Данный провод имеет отличное противодействие огню. Все благодаря негорючему покрытию. Однако если вы проложите данный провод пучками, то шанс возгорания существенно повысится.
  3. Кабель НУМ очень гибкий и пожаробезопасный, поэтому он является идеальным вариантом для обустройства проводки в деревянном доме.
  4. Вы можете проложить кабель данного типа не только в помещении, но и по земле или по воздушным столбам.
  5. Каждая из жил провода НУМ имеет свой цвет. Расцветка проводков в таком кабеле всегда соответствует схеме. Этот нюанс существенно упростит ремонтные работы, связанные с положением кабеля.

Кабель NYM имеет массу преимуществ, за которые он полюбился большинству пользователей. Такой аксессуар соответствует всем международным требованиям и имеет сертификаты качества.

Отличия кабелей НУМ отечественного и зарубежного производителей

Кабели NYM могут быть произведены в странах СНГ или в Европе. В любом случае данная продукция проходит испытания на соответствие государственным стандартам. Поэтому ответить на вопрос: «Какой производитель лучше?», однозначно невозможно.

Европейские кабели выпускаются согласно европейским стандартам. Они проходят сертификацию на национальных комиссиях, а потому носят соответственную маркировку. Обычно кабели заграничных производителей носят маркировку германских стандартов «VDE» или специальный символ гармонизированных стандартов «HAR».

Нельзя сказать однозначно, какой кабель NYMлучше, европейский или отечественный аналог. Разница между ними заключается лишь в стране-0производителе и стандартам, согласно которым они были сделаны. Если вы выбираете подходящий для вас провод, то определите отличия всех вариантов, и выберите тот, который наиболее подходит именно вам.

Российские производители ставят маркировку в зависимости от того, согласно каким стандартам он изготавливается. Это могут быть отечественные или зарубежные стандарты.

Какой кабель лучше: NYM или ВВГНГ

Помимо кобелей НУМ, очень большой популярностью пользуются провода ВВГ. Они очень схожи по характеристикам, но имеют и некоторые отличия в своей конструкции.

Единственным отличием в технических характеристиках кабелей ВВГНГ и НУМ является показатель их рабочих температур. По заявлениям производителей NYMможет работать в температурном диапазоне от -30 до +40 градусов, а ВВГ выдерживает температурные колебания от -50 до +50 градусов.

ВВГ кабель имеет два слоя изоляции. Первый находится на жилах и представляет собой покрытие из ПВХ-пластиката. Второй является оболочкой ПВХ-пластиката с пониженной горючестью, а также устойчивостью к свету и перепадам температур. Данные провода имеют немного сплющенную форму.

Кабеля NYM имеют трехслойную оболочку. Первый и последний слой представляют собой покрытие из негорючего, ПВХ-пластиката. Средний слой является меланаполненым резиновым заполнителем. Данный провод имеет круглую форму.

Несмотря на различное строение оба кабеля обладают практически идентичными характеристиками. Поэтому выбор определенной модели диктуется лишь вашими предпочтениями.

Характеристики кабеля NYM (видео)

Кабель НУМ – это современный и практичный аксессуар. Он соответствует как российским, так и международным стандартам качества. Поэтому электрики советуют остановить свой выбор именно на нем.

Что такое кабель NYM и почему на его маркировке нет ГОСТа | ЭТМ для профессионалов

Казалось бы, уже привычный для российского потребителя кабель NYM. Но вопросов о нем больше чем о любом другом силовом кабеле.

Во-первых, наблюдательные клиенты изучают его маркировку и не находят на ней ГОСТа.
Во-вторых, изготавливаемый российскими производителями кабель почему-то маркируется иностранными буквами да ещё и у разных производителей по разному: NYM, NUM, HUM, HYM и т.п.
В-третьих, он и внешне отличается и у каждого производителя «немного свой особенный NYM».

Почему так происходит и как среди всего этого многообразия найти настоящий NYM?

Начнем с истории появления этого кабеля на российском рынке.

Эта разновидность силового кабеля пришла к нам с Запада. Наряду с евроотделкой и евроремонтом появилась необходимость в так называемой «евроразводке» электроэнергии. Кабель предназначен для использования на промышленных и бытовых объектах для стационарного монтажа электропитания. В кабеле NYM используется промежуточная оболочка из мелонаполненной резины, что: позволяет легко и удобно «разделывать» кабель при монтаже; повышает пожаробезопасность кабеля и увеличивает гибкость кабеля.

Расшифровка названия кабеля NYM восходит корнями к старой немецкой системе классификации, по германскому же национальному стандарту VDE 250, часть 204. В настоящее время в Евросоюзе действует другая система маркировки, общеевропейского масштаба, но NYM в свое время приобрел настолько широкую популярность, что сумел сохранить аутентичное наименование, под которым его и знает большинство европейских и российских потребителей.

Существует два основных подтипа этого провода — NYM-J и NYM-O. Буква J указывает на наличие в изделии желто-зеленого провода, предназначенного для подключения «земли». O — на отсутствие такового. Производящийся в России или импортируемый из Европы кабель NYM, имеет цветовую маркировку изоляции проводников, соответствующую нормам российских ПУЭ (Правил устройства электроустановок).

Особенность кабеля NYM состоит в том, что в Германии этот кабель изготавливается по лицензии Союза немецких электротехников (стандарт DIN VDE) и имеет на оболочке соответствующую маркировку, а в России изготавливают функциональный и конструктивный аналог изделий NYM. Разница между ними – в требованиях к толщине изоляции и оболочки.

Требования к кабелю NYM, по ТУ российских производителей, регламентируются нормативами, установленными ГОСТ 23286-78 «Кабели, провода и шнуры. Нормы толщин изоляции, оболочек и испытаний напряжением». ГОСТом 23286 установлены номинальные значения толщины изоляции и оболочки и минимальные допуски на эти значения.

На кабели, выпускаемые по стандарту DIN VDE, регламентируется только среднее значение величины изоляции и оболочки, которое должно быть не ниже номинального, при этом не допускается никаких минимальных значений.

Почему немецкий союз электротехников разработал конструкции, в которых четко определены наружные размеры, заложен бОльший расход материалов, который выглядит просто расточительным по сравнению с теми же показателями для кабеля по российскому ТУ. Немцы ошиблись?

Отнюдь!

Немцы всегда умели и умеют считать деньги. Данная «расточительность» — защита от неизбежного несоблюдения строительных правил. А значит, она ГАРАНТИРУЕТ безопасность эксплуатации кабеля, даже при незначительных повреждениях.

Есть ещё одно преимущество кабеля, сделанного по немецким стандартам — это то, что его защита гарантирована «VDE. Институтом испытаний и сертификации», Оффенбах, Германия.

Среди западных стандартов изготовления кабельной продукции VDE (Veiband Deutscher Electrotechniker) — чрезвычайно авторитетный и уважаемый знак отличия, который выдается Германским союзом электротехников только для наиболее качественных и тщательно проверенных образцов кабельной продукции. Стандарт DIN VDE широко признан в мире, с ним считаются в более чем 50 странах мира. Маркировка VDE говорит о том, что кабель максимально соответствует всем нормам по безопасности и техническим характеристикам, которые разработаны для конкретного вида продукции, включая сечение, применяемые материалы, цветовое маркирование жил и цифровые обозначения на оболочке.

К Как купить настоящий кабель NYM, сделанный по немецким стандартам DIN VDE?

Купить данный кабель у немецких производителей, например LAPP или HELUKABEL. Немецкий кабель по DIN VDE на оболочке имеет характерную маркировку знаком VDE, и изготовитель такого кабеля должен обладать лицензией на право маркировки кабеля знаком соответствия VDE.

Ряд российских производителей (Угличкабель, Электрокабель г. Кольчугино и Конкорд) провели испытания своего кабеля в Германии и имеют лицензию VDE 250.

Как найти его в ЭТМ iPRO?

Для удобства пользователей ЭТМ iPRO их функциональный и конструктивный аналог изделий NYM обозначен специальным значком «VDE».

Наберите в строке поиска каталога iPRO NYM 3х1,5 и вы увидите этот значок у вышеперечисленных производителей. При этом на маркировке российских производителей знака соответствия VDE не будет, т.к. нельзя указывать на маркировке два стандарта и VDE и EAC, а стандарт EAC российские производители обязаны указывать на кабельных изделиях в соответствии с ТРТС.

В интернет-магазине пока такого значка нет, но появится в ближайшее время. А пока обращайтесь в центр поддержки и продаж ЭТМ или к менеджерам отдела продаж. Они подберут вам нужные артикулы.

В Важно!

Важно помнить, что у NYM есть определенная особенность, налагающая ограничение на его применение в пожароопасных местах. Он относится к самозатухающим проводам, но только при условии одиночной прокладки в стене или кабель-канале. Дело в том, что внутренняя прослойка из мелонасыщенной вспененной резины поддерживает горение, а ПВХ-пластикат — нет. Поэтому опасность пожара при коротком замыкании существует только там, где несколько NYM кабелей проложены одним пучком.

При этом NYM можно использовать для проводки во влажных помещениях, например, в ванной комнате, т.к. заполняющий компаунд на основе каучуков не обладает гигроскопичностью и плотное прилегание заполнения к изоляции кабеля является своего рода барьером для проникновения влаги внутрь кабеля. Что, кстати, регламентируется и нормативными документами.

Единственный нюанс температура не должна превышать + 50 градусов по Цельсию, т.е. использовать данный кабель открытым способом в парилке будет невозможно.

Посмотреть сравнение конструкций различных NYM можно в видеообзоре производителя РЭК/Prysmian, который при изготовлении кабеля ориентируется на общеевропейские стандарты качества. https://vk.com/videos-70265905?z=video-70265905_456239253%2Fclub70265905%2Fpl_-70265905_-2

Завод Севкабель в настоящее время не имеет дорогостоящей лицензии VDE на свой NYM, но при этом изготавливает новые пожаробезопасные разновидности данного кабеля в исполнении нг(A)-LS, которые уже входят в складской ассортимент компании ЭТМ.

Отличие конструкции NYM в результате различных требований к толщинам в России и в Германии.

Основные сферы применения силового кабеля NYM

Одним из наиболее качественных и часто используемых силовых кабелей является кабель NYM. Круглая форма его токопроводящей жилы и утолщенная изоляция поливинилхлоридным пластиком создаёт дополнительную безопасность. Девулканизированная смесь на основе резины – это своеобразная поясная изоляция, при использовании которой отдельные провода с одной жилой могут эксплуатироваться без традиционной изоляции. Каждая из этих жил имеет одно и то же сечение, вне зависимости от того, двух, трёх, четырёх или пятижильный кабель (существуют и семижильные кабели).

Количество жил кабеля NYM

Способы прокладки кабеля NYM

Силовой кабель NYM используют в основном для стационарной прокладки различных мощных осветителей (цепей) при напряжении до шестисот шестидесяти вольт и частоте до пятидесяти герц. Изготавливаются провода по немецким технологиям, с использованием самых современных зарубежных стандартов. Еще одним способом прокладки такого типа кабеля являются электроцепи, использующиеся в комнатах с первым классом электробезопасности, а так же в зонах подверженных взрывам и воспламенениям. Происходит это за счёт высокого кислородного индекса, обеспечивающего увеличение анти-воспламенения кабеля. Состав, которым обработан кабель NYM, не впитывает воду, что служит отличным препятствием в проникновении влаги непосредственно к кабелю. Благодаря такому высокому уровню безопасности даже при установке кабеля в место с повышенным уровнем влажности или при повреждении кабеля в условиях влажности, человек, ремонтирующий его, останется в абсолютной безопасности.

Характеристики кабеля NYM

NYM – это обновленный, усовершенствованный кабель ВВГ, отличительные характеристики которого заключаются в следующем: во время строительных работ цветовая гамма жил облегчает и ускоряет работу в целом. Уплотнитель из резины, наполненный мелообразующим веществом, делает провод менее подверженным к воспламенению, и придаёт кабелю большую пластичность. Необходимость в разводке электроэнергии по европейскому типу и послужила толчком для создания подобного кабеля. Этот кабель, как тип, пришёл с Запада. У силовых кабелей множество предназначений: они снабжают электричеством промышленные установки, стационарно присоединяют бытовые приборы и всё это в пределах номинального напряжения до пятисот Ватт. Кабель также используется и в промышленных целях. На вопрос: «Почему не использовать более дешёвый кабель?» следует ответить, что именно от качества кабеля зависит вся проводка помещения в целом. Скачки напряжения, халатность в установке – все эти погрешности могут повлиять на безопасность людей, находящихся в помещении. Повреждение оболочки более дешёвого представителя силовых кабелей может стать скрытой угрозой, похожей на бомбу замедленного действия.

Внешний вид кабеля NYM

Внешний вид кабеля удовлетворяет потребностям потребителя, он очень удобен в эксплуатации, существует однопроволочный (составляет примерно от полутора до десяти миллиметров) и многопроволочный (составляет примерно от шестнадцати до тридцати пяти миллиметров) вариант. Во время прокладки кабеля нужно не забывать о наименьшей и наивысшей температуре воздуха, которая не должна превышать пятьдесят градусов и быть не ниже пятнадцати градусов по Цельсию во время прокладки. Радиусом изгиба при прокладке может быть, примерно, семь с половиной диаметров (наружных). Использование трехслойной изоляционной защиты, которая состоит из поливинилхлоридной изоляции и дополнительного слоизаполнителя, позволяют достигнуть округлой формы кабеля. NYM, обычно, используется для прокладки в помещениях (возможность проложить кабель прямо в грунт отсутствует и остаётся нежелательной), так как прямые солнечные лучи могут попасть на кабель на улице. Тип здания, в случае внутреннего проложения кабеля, совершенно не важен, будь то обычное жилое помещение, здание административного типа, школы, детские сады.

Преимущества кабеля NYM

Основным преимуществом этого кабеля остаётся его долговечность, ведь при правильном использовании он может прослужить до тридцати лет. Если подробно перечислить все те составляющие, которые уходят на создание кабеля NYM, можно прийти к выводу, что немецкие производители привыкли к расточительству, отнюдь. Каждый компонент в составе кабеля, выполняет свою функцию, и не может быть заменен  другим, или выброшен вовсе. Именно за счёт наличия дополнительных составляющих кабель и получил такую высокую оценку потребителями. Гарантии качества, долговечности и безопасности получены не по опросам потребителей, а по итогам исследований тестирующих групп в немецких институтах сертификации, именно этот факт позволяет полностью довериться данному продукту. Главное не перепутать кабель NYM с другими, для этого стоит обратить внимание на маркировку VDE.
Где купить кабель NYM?
Вы можете купить кабель NYM позвонив нам по телефону +7(495) 543-43-06 или отправив заявку на электронную почту [email protected]. Стоимость на весь ассортимент кабеля NYM представлена в каталоге компании.    

Sphinx: формат анонимных данных, лежащий в основе Lightning и Nym | by Nym | nymtech

Sphinx — это беспрецедентный формат анонимных криптографических пакетов, обеспечивающий работу как Lightning Network, так и Nym. Вот как это творит чудеса.

12 января 2009 года Сатоши Накамото отправил знаменитому шифровальщику Хэлу Финни 10 BTC в рамках первой в мире транзакции с биткойнами. Одиннадцать лет спустя микснет Nym совершил свою первую анонимную транзакцию, отправив пакеты Sphinx между микс-узлами, управляемыми добровольцами из Chaos Computer Club, Blockstream, Electric Coin Company и других организаций.

В память о Хэле Финни (1956–2014)

Функциональный микснет, который может обеспечить более надежную конфиденциальность на сетевом уровне, чем Tor, долгое время был мечтой защитников конфиденциальности, исследователей и шифровальщиков. Mixnets появились раньше Tor, и до сих пор их наиболее эффективным развертыванием было Mixminion, ремейлер «типа 3», используемый для анонимной отправки электронной почты. Поскольку разработка mixnet застопорилась — два основных разработчика Mixminion, Ник Мэтьюсон и Роджер Дингледин, перешли к созданию Tor, — с 2003 года почти ничего не делалось с открытым исходным кодом, а с 2011 года никаких коммитов не было.

Благодаря усилиям, начатым с PANORAMIX и продолженным Nym, миксети вернулись.

Как подробно рассказывалось в нашем предыдущем посте, микснет Nym состоит из микс-узлов, которые передают пакеты друг другу. Узлы добавляют временные задержки, чтобы скрыть временные метаданные транзакций и создавать фиктивный трафик, когда реального трафика недостаточно. Таким образом, микснет Nym обеспечивает лучшую конфиденциальность для трафика на основе сообщений, чем Tor или VPN (включая dVPN).

Настоящим секретом микснетов является формат пакетов Sphinx, используемый Nym и Lightning Network.Sphinx сложно понять, и он не используется Lightning Network таким образом, чтобы гарантировать анонимность. Итак, давайте глубоко погрузимся в Сфинкса и ответим на его загадки!

Sphinx¹ анонимно направляет сообщение от отправителя к получателю. Он обеспечивает несколько свойств, необходимых для анонимности отправителя в многоинтервальных системах:

  1. Побитовая несвязанность : любой пакет, входящий в микс, не может быть коррелирован с каким-либо исходящим пакетом на основе его двоичного представления злоумышленником, наблюдающим за сетью.Другими словами, пакеты анонимны.
  2. Целостность: Устойчивость к активным атакам, таким как атаки с тегами и повторным воспроизведением, когда злоумышленник изменяет и повторно вводит сообщения для извлечения информации об их адресатах или содержимом.
  3. Скрытие информации о маршрутизации: Ни один узел смешивания не может сказать количество переходов, пройденных пакетом на данный момент, или длину пути сообщения. Только предшественник и последующий узел микширования известны данному миксу-узлу.

В Sphinx анонимные ответные пакеты могут предлагать анонимность получателя с помощью одноразовых блоков ответа (SURB), которые неотличимы от сообщений Sphinx, пересылаемых по сети.

Sphinx в двух словах

Пакет Sphinx состоит из двух независимых частей:

  1. Заголовок, инкапсулирующий всю информацию, необходимую для маршрутизации сообщения от источника к месту назначения; и
  2. полезная нагрузка, в которой скрыто фактическое содержимое сообщения.

Представьте себе мир, в котором Накамото хочет анонимно отправить сообщение Хэлу Финни через смешанную сеть, где узлы представлены своими IP-адресами и открытыми ключами. Накамото необходимо распределить ключи, чтобы каждый микс-узел в маршруте мог декодировать необходимую информацию о маршрутизации для пересылки зашифрованного пакета и при этом сохранять остальную часть маршрута скрытой.

Структура Sphinx

Сначала Накамото выбирает маршрут, просматривая открытый ключ каждого узла микширования и вычисляя общий ключ для каждого. «Ключевой» компонент заголовка Sphinx представляет собой единый групповой элемент, который в сочетании с открытыми ключами узлов позволяет вычислять общий ключ для каждого через обмен ключами Диффи-Хеллмана, и, таким образом, первый узел в выбранном пользователем route может пересылать пакет следующему, и только этот узел смешивания может его расшифровать.

Этот эфемерный общий ключ s позволяет узлу обрабатывать пакет путем получения ключей, необходимых для обеспечения того, чтобы заголовок пакета не был изменен путем проверки тега целостности ɣ в заголовке, и дешифрования зашифрованной информации маршрутизации β, которая несет набор инструкций от отправителя к назначенному микс-узлу о том, что микс-узел должен переслать и куда.

Элемент группы ɑ криптографически скрывается на каждом этапе микширования, чтобы предотвратить корреляцию пакетов для каждого пользователя. Маскирующий фактор b, извлекается из общего ключа s , и, таким образом, как отправитель, так и соответствующее сочетание могут выполнять все операции, необходимые для пересылки пакетов. Полезная нагрузка δ в пакете Sphinx вычисляется с использованием широкоблочного шифра, чтобы гарантировать, что, если злоумышленник изменит полезную нагрузку в любой момент, содержимое сообщения будет безвозвратно потеряно.Тег целостности ɣ, закодированный в заголовке, позволяет проверять только то, не был ли также изменен заголовок пакета. Все пакеты должны иметь одинаковую длину на каждом шаге.

Обеспечить постоянную длину заголовка сложнее. Sphinx использует сложную технику заполнения, чтобы гарантировать, что постоянный размер пакета приводит к минимальным накладным расходам.

Создание пакета Sphinx

Для маршрутизации сообщения m через выбранный путь миксов M₀, M₁, M₂ , Накамото генерирует новое секретное значение x и предварительно вычисляет все элементы группы ɑ, общие ключи s и маскирующие факторы b с использованием x и открытых ключей узлов микширования.Он начинает кодирование заголовка, инкапсулируя информацию о маршрутизации, такую ​​как IP-адрес, с тегом целостности заголовка для каждого узла соединения в маршруте, от последнего до первого.

Самый внутренний уровень построен как конкатенация адреса Финни ∆ , идентификатора , идентификатора I , используемого для SURB, и последовательности заполнения, которая гарантирует, что длина пути не будет случайно обнаружена. Затем они шифруются с помощью XOR с выходом генератора псевдослучайных чисел, заполненным общим ключом s ₂.Результат, наконец, объединяется со строкой-заполнителем ɸ, добавление которой гарантирует, что размер пакетов заголовков останется постоянным по мере добавления или удаления слоев шифрования. После того, как окончательная зашифрованная маршрутная информация β₂ готова, Накамото вычисляет свой HMAC как тег целостности ɣ₂ = HMAC ( s ₂, β₂) и шифрует эту маршрутную информацию β вместе с проверкой целостности ɣ. Процесс снова начинается с β₁, затем рекурсивно переходит к следующему β, как показано ниже:

Создание пакета Sphinx: Чем темнее серый цвет, тем больше шифрование!

Накамото затем повторно использует вычисленные общие ключи для многоуровневого шифрования полезной нагрузки.Как и в заголовке, инкапсуляция полезной нагрузки выполняется в обратном порядке маршрута через микс-узлы. Начальное значение δ составляет , созданное с использованием широкого блочного шифра , с использованием ключа s₂ , из конкатенации сообщения m , адреса Финни ∆ и последовательности заполнения нулевым байтом, что позволяет проверить, что тело не было изменено при передаче — если злоумышленник изменяет один бит, широкоблочный шифр расшифровывает полезную нагрузку до случайных битов.

Финни по-прежнему должен быть в состоянии различать, является ли это действительным сообщением или случайным зашифрованным текстом, используя дополнительное заполнение нулевых байтов известной последовательности. Когда δ готово, Накамото снова шифрует его, используя s₁ и s₀ , один за другим.

Обработка пакета Sphinx

  1. После получения пакета узел смешивания извлекает элемент группы ɑ из заголовка и объединяет его со своим собственным секретным ключом, чтобы получить общий ключ s .
  2. Используя s , микс вычисляет хеш-код зашифрованной маршрутной информации как HMAC (s, β) и сравнивает его с тегом целостности ɣ, прикрепленным в заголовке пакета. Если проверка целостности не удалась из-за подделки заголовка, пакет отбрасывается. В противном случае узел смешивания переходит к шагу 3.
  3. Узел смешивания теперь готов расшифровать присоединенный β. Чтобы извлечь инструкции маршрутизации, узел микширования сначала добавляет заполнение нулевым байтом в конце β и расшифровывает заполненный блок маршрутной информации B , выполняя операцию XOR с псевдослучайным потоком байтов, сгенерированным с использованием с. .Количество нулевых байтов, добавленных к β, равно длине инструкций маршрутизации, которые узел микширования должен извлечь, чтобы сохранить неизменность длины. Обратите внимание, что, поскольку заполнение хешируется внутри тега целостности ɣ, оно должно быть идентично заполнению, предварительно сгенерированному Накамото.
  4. Узел смешивания анализирует инструкции маршрутизации из B , чтобы получить адрес следующего узла смешивания (или, в случае последнего перехода, адрес назначения ∆ и идентификатор I ), а также новый тег целостности ɣ ‘и β’, который должен быть перенаправлен на следующий переход.
  5. Узел смешивания также выполняет расшифровку широкоблочного шифра δ, в результате чего получается δ ’, который будет перенаправлен на следующий переход.
  6. Узел смешивания закрывает полученное ɑ, используя коэффициент скрытия, полученный из общего ключа s , чтобы получить новый групповой элемент ɑ ’.

После того, как заголовок и полезная нагрузка зашифрованы, а элемент группы скрыт, узел смешивания может собрать новый пакет как ((‘, β’, ɣ ‘), δ’) и переслать его на следующий адрес. .

Оригинальная иллюстрация формата пакета Sphinx от Данезиса и Голдберга (2014)

Один из лучших аспектов Sphinx — это то, что он доказуемо безопасен — исходный документ предлагает подтверждение свойств, которые он принимает.В общем, нам нужны доказательства безопасности, которые криптографы обычно делают вручную, чтобы показать, что проект действительно имеет набор свойств, которые могут быть логически доказаны на основе набора математических предположений. Гораздо сложнее доказать свойства конфиденциальности, которые обычно связаны с моделированием.

Когда криптографы вручную делают доказательства безопасности, они могут сделать ошибки или просто упустить из виду аспекты того, что они хотят доказать. Работа Куна и др. ² показывает, что, поскольку формальные свойства, определенные Каменишом и Лысянской для систем на основе луковой маршрутизации, недостаточны, существенный недостаток в исходной конструкции пакета Sphinx не был обнаружен в доказательстве безопасности, представленном Данезисом и Голдбергом. .Если этот недостаток не исправить, он может серьезно повредить конфиденциальности пользователей в системах, использующих Sphinx.

Первоначальный дизайн Sphinx предлагал использовать заполнение нулевым байтом, но только с последовательностью нулей, поскольку заполнение позволяет последнему узлу смешивания в пути вывести информацию о длине пути, тем самым нарушая одну из мер безопасности. свойства, обещанные Sphinx, и, возможно, содержащие важную информацию о маршруте или даже о конечном пункте назначения.

Как описано ранее, последний узел смешивания в маршруте получает самый внутренний уровень зашифрованной информации маршрутизации β, сгенерированной как шифрование адреса получателя (∆), идентификатора ( I ) и заполнения нулевым байтом. , и в сочетании с наполнителем ɸ.

Следуя обозначениям, используемым в работе Sphinx, самое внутреннее β создается как

, где | ɸ | = 2 (v-1) κ и κ, r — это соответственно параметр безопасности и максимальная длина пути, а v — длина пути, пройденного пакетом. Обработка полученного β узлом смешивания выполняется как

Итак, как последний узел смешивания выводит какую-либо информацию о длине пути из этой магической математики?

Чтобы объяснить, как работает эта атака, мы приводим простой пример.Во-первых, напомним, что данное значение x = a b , и x, и a и b имеют одинаковую длину, и если мы продолжим XOR x с b , мы получим x b = a b b = a . В нашем примере предположим, что на выходе PRNG с общим ключом узла v-1 в качестве входа будет 10101010101010101010….

Давайте теперь рассмотрим следующее значение β, полученное последним миксом

Теперь, следуя (2), мы выполняем те же операции, которые выполнял бы выходной микс-узел для дешифрования и анализа β

По замыслу, последний микс-узел в пути известна общая длина ожидаемого β (в нашем примере это было 9 битов), и что за конкатенацией адреса назначения (∆) и идентификатора (I) , соответственно, следует заполнение нулями и псевдо -случайные биты наполнителя.Зная точные длины ∆ и I, честный, но любопытный последний узел смешивания смотрит, где находится первый бит 1 после идентификатора, поскольку он знает, что строка-заполнитель начинается там или раньше. Наблюдение, когда стоит первый 1 бит после идентификатора, позволяет последнему миксу определять нижнюю границу длины строки-заполнителя. Поскольку общая длина ɸ определяется конструкцией как удвоенная длина маршрута, умноженная на параметр безопасности κ, нижняя граница длины строки-заполнителя пропускает информацию о нижней границе длины используемого пути.

Почему знание длины пути вредно

Как показали исследования, ⁴ в сетях, использующих ограниченные или разреженные топологии (например, Lightning), знание длины пути снижает набор анонимности, под которым отправитель может скрыться. Пример на рисунке ниже показывает, как знание нижней границы длины пути может снизить анонимность отправителя. Если D действует как выходной микшерный узел и пересылает пакет Тимми, не зная длины пути, любой из узлов A, B, C, E, G, F может быть отправителем.Однако, если D может сделать вывод, что длина пути не менее 3, то, глядя на сетевой граф, мы делаем вывод, что только A или B может быть отправителем, следовательно, набор потенциальных отправителей значительно уменьшается.

Предотвратить эту атаку довольно просто. В (1), когда мы создаем β вместо использования нулевого заполнения, нам просто нужно использовать заполнение случайными битами. Собственно, реализация Python Джорджа Данезиса уже признает этот недостаток.

Рис. 1

Но эта атака не влияет на Nym

  1. Nym использует стратифицированную топологию для максимальной анонимности, поэтому все пути имеют одинаковую длину, и каждый узел микширования знает свое положение на пути.В случае с Lightning дело обстоит иначе. Он использует пути переменной длины, поэтому его первоначальная реализация Sphinx была уязвима для этой атаки, хотя теперь она исправлена.
  2. Последний уровень кодирования Sphinx удаляется самим приложением, а не выходным миксом (как в Tor). Однако реализация Nym Sphinx в Rust устойчива к этой атаке (в ней используется рандомизированное заполнение), поэтому ее можно безопасно повторно использовать в любом проекте на основе Sphinx.

Первый анонимный пакет Sphinx Нима не будет нашим последним.Сеть Nym постепенно превратится в стабильную микснет общего назначения для любого интернет-приложения. Наша тестовая сеть уже запущена и должна быть запущена к концу 2020 года.

Но кому в любом случае нужна конфиденциальность на уровне сети? Оказывается, почти все.

Сеть Lightning уже использует пакеты Sphinx таким образом, который нарушает ее способность обеспечивать конфиденциальность транзакций, как продемонстрировала Клаудия Диаз на конференции Lightning в ноябре 2019 года. С некоторыми изменениями в Lightning можно было бы повысить конфиденциальность, поскольку она уже разделяет с Нимом много инфраструктуры, такой как Sphinx.Комбинация Nym и Lightning может быть наиболее жизнеспособным способом сделать биткойн приватным.

Клаудиа Диаз, рассказывающая о том, почему Sphinx не помогает обеспечить конфиденциальность Lightning — и как это можно исправить даже привести к атакам на методы обеспечения конфиденциальности в сети, такие как zkSNARKS. Мы проводим разъяснительную работу в ряде сообществ, и скоро нам будет что сказать.

И давайте не будем забывать об интересе к децентрализованным VPN от Brave и других. Как быстро могут идти пакеты Sphinx? Sphinx использует много асимметричной криптографии и экзотических широкоблочных шифров для достижения несвязанности, но, возможно, он также может быть переработан для достижения скоростей, которые сделают такие варианты использования реальностью.

Sphinx дает обычным интернет-пакетам силу анонимности, но с большой мощностью приходит большая ответственность. Мы с нетерпением ждем возможности увидеть, какие новые виды сервисов и приложений возьмут на себя эту ответственность и построят на Nym!

PGP

ВАЖНОЕ ПРИМЕЧАНИЕ: В последних версиях PGP могут быть проблемы с безопасностью.Для этого По этой причине мы рекомендуем вам использовать PGP версии 6.5.8 или НИЖЕ , и ни одной из версий PGP 7+.

SecureNym настоятельно рекомендует использовать PGP для безопасности. PGP — это стандарт шифрования де-факто, и его легко доступны как в бесплатном, так и в розничном виде.

Особые инструкции для пользователей SecureNym для расшифровки сообщений PGP с вложениями. здесь.

После получения PGP с www.pgp.com, вы должны правильно установить его на свой компьютер. Этот это довольно простая процедура, если вы будете следовать приведенным ниже инструкциям.

Во время установки PGP спросит вас, хотите ли вы установить плагины для Eudora или Outlook. Выражать. Если вы используете любой из этих почтовых клиентов, обязательно установите плагины.

Альтернативой PGP является GnuPG с сайта www.gnupg.org. PGP-ckt — еще один, хотя технически, эта версия не предназначена для использования в США.Совместимость этих альтернатив PGP может быть проблемой.

О КОМПАНИИ PGP

PGP (Довольно хорошая конфиденциальность) это программа шифрования военного уровня, которая используется для шифрования (шифрования) и расшифровать (расшифровать) данные, чтобы их могли прочитать только те, кому предназначено прочитать это. PGP — лучший способ защитить данные, доступные для общего доступа. общественные. Сейчас идет война между правительством США. и защитники конфиденциальности об использовании мощного шифрования.Правительство утверждает он не может взломать PGP и является препятствием для правоохранительных органов.

PGP — это криптосистема с открытым ключом (хотя он также использует обычное шифрование). Это означает, что он использует 2 разных ключи для шифрования и дешифрования данных. Это кажется самым запутанным часть, с которой у большинства людей проблемы. У каждого пользователя будет свой ключ пара (2 ключа). Один из них называется «секретный ключ», который используется с секретным паролем. чтобы расшифровать все ваши зашифрованные сообщения и файлы.Другой — ваш «публичный» key «, и это тот, который вы загрузите в SecureNym. Наши серверы используют ваш открытый ключ для ШИФРОВАНИЯ сообщения для вас, и затем вы будете использовать свой секрет ключ, чтобы РАСШИФРОВАТЬ его. Вы также используете свой собственный открытый ключ для шифрования ваших файлов, затем используйте свой секретный ключ, чтобы расшифровать их. Безопасность НЕ ставится под угрозу, если из вашего открытого ключа. Не имеет значения, если злоумышленник получит доступ к вашему открытый ключ, потому что все, что они могут с ним делать, — это шифровать сообщения, которые только вы сможете расшифровать.Программа PGP разработана таким образом, что вы не можете случайно выдать секретный ключ. PGP автоматически открывает ваш секрет ключ, когда это необходимо, поэтому вам никогда не придется беспокоиться об этом после того, как он created. нет необходимости выбирать секретный ключ для расшифровки. Все вам нужно сгенерировать пару ключей и загрузить открытый ключ в SecureNym.

Еще раз на наш взгляд лучший Версия PGP на данный момент — 6.5.8 или 8.0.3. К сожалению, если у вас еще нет одной из этих версий, они больше не доступны для широкой публики.

Нажмите на ссылку ниже, чтобы пошаговые инструкции. В зависимости от того, какую версию PGP вы скачали, экраны могут выглядеть несколько иначе, чем в примерах, но условные обозначения б / у должен быть похож.

PGP 6.5+

Криптоним | Encyclopedia.com

Криптоним или кодовые имена — это слова, символы или числа, используемые вместо фактического имени человека, предмета или запланированного события.Этот термин образован от двух латинских корней: crypto , что означает секрет, и nym , что означает имя. Мера безопасности и контрразведки, кодовые названия облегчают скрытую связь и повышают секретность.

Криптоним уже давно существует во многих формах, каждая из которых адаптирована к обстоятельствам, в которых они используются. Для обеспечения безопасности кодовые названия военных и разведывательных операций чаще всего имеют меньшее или никакое отношение к засекреченным предметам, лицам или событиям, которые они представляют.Иногда такие криптонимы намеренно вводят в заблуждение. Во время Второй мировой войны американские военные использовали кодовое название «Хаски» для обозначения запланированного вторжения в Северную Африку в 1943 году.

Разведывательные и военные агенты, работающие в полевых условиях, часто используют криптоним, чтобы скрыть свою личность. В качестве средства защиты как добровольцев, так и организаций члены партизанских отрядов французского Сопротивления называли друг друга кодовыми именами. Криптонимом обычно служили названия французских деревень, исторических личностей и профессиональные титулы.Добровольцы Сопротивления придерживались системы кодовых имен, чтобы свести к минимуму вероятность проникновения гестаповских агентов или захваченных партизан под принуждением, легко идентифицируя членов организации.

К другим типам криптонима относятся числовые серии, которые сейчас широко используются в отношении военных и компьютерных технологий, и символы. Хотя эта практика широко использовалась на протяжении всей истории как средство сохранения тайной идентичности, практика подмены собственных имен секретными символами вышла из моды. В средневековой Франции и Англии рыцари и дворяне, желающие отправлять секретные сообщения, часто подписывали свои сообщения секретными восковыми печатями, отличающимися по цвету и дизайну от их семейных гербов или печатей для подписи.

Хотя присвоение важного значения разведки криптониму является одной из старейших технологий шпионажа и шифрования, эта практика остается обычным явлением и сегодня. Кодовые имена больше не являются исключительной прерогативой правительств, военных или спецслужб. С появлением Интернета вездесущее имя пользователя или дескриптор стало наиболее популярным из криптонимов.

СМОТРИ ТАКЖЕ

Кодовое слово

%! PS-Adobe-2.0 %% Создатель: dvips (k) 5.86 Copyright 1999 Radical Eye Software %% Заголовок: priv-cens.dvi %% Страниц: 2 %% PageOrder: Ascend %% BoundingBox: 0 0 612 792 %% EndComments % DVIPSWebPage: (www.radicaleye.com) % DVIPSCommandLine: dvips -o priv-cens.ps priv-cens.dvi % DVIPS Параметры: dpi = 600, сжатый % DVIPS Источник: вывод TeX 2001.11.19: 1321 %% BeginProcSet: texc.pro %! / TeXDict 300 dict def Начало TeXDict / N {def} def / B {привязка def} N / S {exch} N / X {S N} B / A {dup} B / TR {translate} N / isls false N / vsize 11 72 mul N / hsize 8.5 72 mul N / landplus90 {false} def / @ rigin {isls {[0 landplus90 {1 -1} {- 1 1} ifelse 0 0 0] concat} if 72 Resolution div 72 VResolution div neg scale isls { landplus90 {VResolution 72 div vsize mul 0 exch} {Разрешение -72 div hsize mul 0} ifelse TR}, если разрешение VResolution vsize -72 div 1 add mul TR [ матрица currentmatrix {A A Round sub abs 0.00001 lt {round} if} для всего раунда exch round exch] setmatrix} N / @ landscape {/ isls true N} B / @ manualfeed { statusdict / manualfeed true put} B / @ копий {/ # копий X} B / FMat [1 0 0 -1 0 0] N / FBB [0 0 0 0] N / nn 0 N / IEn 0 N / ctr 0 N / df-tail {/ nn 8 dict N nn begin / FontType 3 N / FontMatrix fntrx N / FontBBox FBB N строка / базовый массив X / BitMaps X / BuildChar {CharBuilder} N / Кодирование IEn N конец A {/ foo setfont} 2 array copy cvx N load 0 nn put / ctr 0 N [} B / sf 0 N / df {/ sf 1 N / fntrx FMat N df-tail} B / dfs {div / sf X / fntrx [sf 0 0 sf neg 0 0] N df-tail} B / E {pop nn A definefont setfont} B / Cw {Cd A length 5 sub get} B / Ch {Cd A length 4 sub get } B / Cx {128 Cd Субъект длиной 3, получить суб} B / Cy {Cd, субподряд длиной 2, получить 127 суб} B / Cdx {Cd A length 1 sub get} B / Ci {Cd A type / stringtype ne {ctr get / ctr ctr 1 add N} if} B / id 0 N / rw 0 N / rc 0 N / gp 0 N / cp 0 N / G 0 N / CharBuilder {save 3 1 рулон S A / base получить 2 индекса получить S / BitMaps получить S get / Cd X pop / ctr 0 N Cdx 0 Cx Cy Ch sub Cx Cw add Cy setcachedevice Cw Ch true [1 0 0 -1 -.1 Сх sub Cy .1 sub] / id Ci N / rw Cw 7 добавить 8 idiv string N / rc 0 N / gp 0 N / cp 0 N { rc 0 ne {rc 1 sub / rc X rw} {G} ifelse} imagemask restore} B / G {{id gp get / gp gp 1 add N A 18 mod S 18 idiv pl S get exec} loop} B / adv {cp add / cp X} B / chg {rw cp id gp 4 index getinterval putinterval A gp add / gp X adv} B / nd { / cp 0 N rw exit} B / lsh {rw cp 2 copy get A 0 eq {pop 1} {A 255 eq {pop 254} { A A добавить 255 и S 1 и или} ifelse} ifelse положить 1 adv} B / rsh {rw cp 2 copy get A 0 eq {pop 128} {A 255 eq {pop 127} {A 2 idiv S 128 and or} ifelse} ifelse put 1 adv} B / clr {rw cp 2 index string putinterval adv} B / set {rw cp fillstr 0 4 index getinterval putinterval adv} B / fillstr 18 строка 0 1 17 {2 copy 255 put pop} для N / pl [{adv 1 chg} {adv 1 chg nd} {1 add chg} {1 add chg nd} {adv lsh} {adv lsh nd} {adv rsh} {adv rsh nd} {1 add adv} {/ rc X nd} { 1 add set} {1 add clr} {adv 2 chg} {adv 2 chg nd} {pop nd}] A {bind pop} forall N / D {/ cc X Тип / тип строки ne {]} if nn / base get cc ctr put nn / BitMaps получить S ctr S sf 1 ne {A A length 1 sub A 2 index S get sf div put } if put / ctr ctr 1 add N} B / I {cc 1 add D} B / bop {userdict / bop-hook known { bop-hook} if / SI save N @rigin 0 0 moveto / V matrix currentmatrix A 1 get A mul exch 0 получить Mul add.99 lt {/ QV} {/ RV} ifelse load def pop pop} N / eop { SI восстановить userdict / eop-hook известно {eop-hook} if showpage} N / @ start { userdict / start-hook известно {start-hook} if pop / VResolution X / Resolution X 1000 div / DVImag X / IEn 256 массив N 2 строка 0 1 255 {IEn S A 360 добавить 36 4 index cvrs cvn put} для pop 65781,76 div / vsize X 65781,76 div / hsize X} N / p {show} N / RMat [1 0 0 -1 0 0] N / BDot 260 string N / Rx 0 N / Ry 0 N / V {} B / RV / v { / Ry X / Rx X V} B statusdict begin / product где {pop false [(Display) (NeXT) (LaserWriter 16/600)] {A length product length le {A length product exch 0 exch getinterval eq {pop true exit} if} {pop} ifelse} forall} {false} ifelse конец {{gsave TR -.1 .1 TR 1 1 масштаб Rx Ry false RMat {BDot} imagemask grestore}} {{gsave TR -.1 .1 TR Rx Ry scale 1 1 false RMat {BDot} imagemask grestore}} ifelse B / QV {gsave newpath transform round exch round обменять его преобразовать переместить в Rx 0 rlinto 0 Ry neg rlineto Rx neg 0 rlineto заполнить grestore} B / a {moveto} B / delta 0 N / tail {A / delta X 0 rmoveto} B / M {S p delta add tail} B / b {S p tail} B / c {-4 M} B / d {-3 M} B / e {-2 M} B / f {-1 M} B / g {0 M } B / h {1 M} B / i {2 M} B / j {3 M} B / k {4 M} B / w {0 rmoveto} B / l {p -4 w} B / m {p — 3 w} B / n { p -2 w} B / o {p -1 w} B / q {p 1 w} B / r {p 2 w} B / s {p 3 w} B / t {p 4 w} B / x { 0 ю.ш. rmoveto} B / y {3 2 roll p a} B / bos {/ SS save N} B / eos {SS restore} B end %% EndProcSet Начало TeXDict 40258431 52099146 1000600600 (priv-cens.dvi) @Начните % DVIPSBitmapFont: Fa cmmi10 10 1 / Fa 1 108 df107 D E % EndDVIPSBitmapFont % DVIPSBitmapFont: Fb cmtt10 10 4 / Fb 4 113 df101 D104 D108 D112 D E % EndDVIPSBitmapFont % DVIPSBitmapFont: Fc cmti10 10 14 / Fc 14118 df78 D97 DII101 D105 D108 D110 DII 114 DIII E % EndDVIPSBitmapFont % DVIPSBitmapFont: Fd cmsy10 10 1 / Fd 1 16 df15 D E % EndDVIPSBitmapFont % DVIPSBitmapFont: Fe cmbx10 10 27 / Fe 27124 df44 DI58 D80 D84 D97 DIIIIIIII108 DIIII114 DIIIII121 D123 D E % EndDVIPSBitmapFont % DVIPSBitmapFont: Ff cmr10 10 61 / Ff 61 123 df11 DI14 D34 D39 DII44 DIIIIIII56 D58 DI65 DII70 D72 DI76 DI79 DI82 D III87 D89 D 92 D97 DIIIIIIIIIIIIIIIIIIIIIII E % EndDVIPSBitmapFont конец %% EndProlog %% BeginSetup %% Особенность: * Разрешение 600 точек на дюйм Начало TeXDict %% PaperSize: Letter %% EndSetup %% Стр .: 1 1 1 0 боп 1690-82 a Ff (SoY) -7 b (унция) 27 b (P) n (ark) 1783 17 лет (08.11.01) 125 200 лет (П) н (ап) р (эр) ж (Т) -7 б (опик:) 36 b (Priv) -5 b (acy) 27 b (и) g (Цензура) f (сопротивление) p 0 303 3898 4 v 125 448 a Fe (The) 31 b (дизайн) f (реализация) m (tation) e (и) 33 b (op) s (eration) e (of) g (an) h (email) e (псевдон) m (ym) g (serv) m (er) e Ff (\ (Извините) -7 b (,) 27 b (это) h (is) f (a) g (бит) 0 547 y (длинный \)) 125 730 y (imp) r (ortan) n (t) g (p) r (oin) n (ts) 125 896 y Fd (\ 017) 41 b Ff (n) n (ym.alias.net:)35 b (a) 25 b (псевдоним) n (ym) g (электронная почта) g (система) g (что) h (w) n (as) f (разработано) g (с) h (цели) e (that) i (allo) n (w) n (ed) e (реально) g (пользователи) h (снаружи) 208 996 y (из) e (the) g (исследования) n (h) e (связь) n (единица) n (y) -7 b (,) 23 b (pro) n (vided) f (secure) h (секретность) e (of) i (the) h (пользователи) e (ид.) n (tities,) i (и) f (pro) n (vided) f (a) h (надежный) f (электронная почта) 208 1095 г (сервис.) 125 1261 г Fd (\ 017) 41 б Ff (Авторы) 22 b (\ 014rst) g (описывает) r (e) g (the) g (system,) i (затем) e (дистиллировать) h (от) f (их) g (exp) r (erience) g (of) h (op) r (erating) e (n) n (ym.alias.net) g (метод) r (ds) 208 1361 y (of) 27 b (обслуживание) g (злоупотребление) g (and) g (w) n (a) n (ys) f (to) i (count) n (teract) e (них.) 249 1544 y (harassemen) n (t:) 35 b (a) 27 b (n) n (ym) h (пользователь) f (anon) n (ymly) f (отправляет) h (o \ 013ensiv) n (e) g (или) g (преследование) e (электронная почта) j (кому) f (un) n (w) n (an) n (ting) g (получатель) n (ts) 390 1643 y Fc (решение) p Ff (:) 37 b (получатель) n (t) 28 b (запросы) e (serv) n (er) g (к) i (blo) r (c) n (k) f (an) n (y) g (сообщение) f (от) h (что) h (n) n (ym) f (to) h ( ) g (получатель) n (t.) 249 1776 y (exp) r (onen) n (tial) f (mail) h (lo) r (op:) 36 b (n) n (ym’s) 27 b (ответ) h (blo) r (c) n (k) f (p) r (oin) n (ts) g (bac) n (k) g (to) g (сама) 390 1876 y Fc (раствор) p Ff (:) 44 b (предел) 31 b (the) g (n) n (um) n (b) r (er) f (of) h (mail) g (a) f (n) n (ym) g (can) h (получено) n (e) e (eac) n (h) h (da) n ( у;) ч (отключить) g (счет) n (t) e (и) i (уведомить) g (n) n (ym) 390 1975 y (o) n (wner) c (когда) g (the) h (предел) h (is) e (превышено) 390 2075 y Fc (Примечание) p Ff (:) 43 b (the) 30 b (авторы) g (nev) n (er) f (exp) r (erienced) h (преследователи) n (t) f (и) h (exp) r (onen) n (tial) g (mail) g (lo) r (op.) 45 b (Ho) n (w) n (ev) n (er,) 29 b (the) h (mea-) 390 2175 y (sures) d (дюйм) h (место) f (for) g (те) g (attac) n (ks) g (help) r (ed) h (сделка) f (with) h (other) f (attac) n (ks.) 249 2308 y (оптом) h (рассылка:) 36 b (attac) n (k) n (er) 26 b (отправляет) h (исходящий) h (mail) g (к) f (man) n (y) g (получатель) n (ts;) g (can) g (\ 014ll) h (вверх) g (почта) g (sp) r (o) r (ol) f (очередь) 390 2407 y Fc (решение) p Ff (:) 37 b (k) n (eep) 28 b (a) f (ежедневно) g (лимит) h (of) g (исходящие) e (сообщения) 249 2540 y (mail-b) r (om) n (b:) 36 b (attac) n (k) n (er) 26 b (генерирует) g (a) i (большой) e (n) n (um) n (b) r (er) h (of) h (сообщения) d (to) j (один) f (получатель) n (t) 390 2640 y Fc (раствор) p Ff (:) 43 b (k) n (eep) 30 b (a) h (p) r (er-sender,) f (p) r (er-host) g (maxima) g (on) g (mail) g (доставка) n (eries;) h (дополнительно) f (отправляет) h (результат) f (in) h (tem-) 390 2739 y (p) r (orrary) 26 b (error) g (co) r (des,) h (далее) n (y) g (dela) n (ying) g (большой) f (всплески) h (of) g (tra \ 016c) 249 2872 y (rev) n (erse) f (mail-b) r (om) n (b:) 36 b (a) 27 b (mail) h (b) r (om) n (b) f (чей) g (\\ F) -7 b (rom «) 27 b (адрес) f (является) h (подделано) g (to) g (the) h (жертвы) g (адрес) 390 2972 ​​y Fc (раствор) p Ff (:) 55 b (это) 37 b (attac) n (k) f (to) g (the) h Fb (помощь) e Ff (адрес) h (whic) n (h) g (отправляет) h (автоответы) e (w) n (ere) h (роздано) g (b) n (y) h (включая) f (the) 390 3071 y (отправитель) 27 b (почта) g (заголовок) g (с) h (the) g (соответственно) r (onse) 249 3204 y (зашифрованный) h (mail-b) r (om) n (b:) 39 b (attac) n (k) n (er) 27 b (создает) h (a) g (n) n (ym) h (для) f (the) i (жертвы) f (адрес) e (и) i (подписаться) r (es) f (that) i (n) n (ym) e (to) h (a) 390 3304 y (high-tra \ 016c) e (рассылка) g (адрес) 390 3403 y Fc (решение) p Ff (:) 37 b (требуется) 27 b (подтверждение) g (of) g (новый) h (ответ) f (blo) r (c) n (ks) 249 3536 y (создать) i (man) n (y) g (accoun) n (ts:) 39 b (создать) 29 b (большой) f (n) n (um) n (b) r (er) h (of) h (accoun) n (ts) e (to) i (hog) e (ресурсы) g (что) i (w) n (ould) f (иначе) f (go) h (to) 390 3636 y (v) -5 b (alid) 28 b (пользователи) 390 3735 y Fc (раствор) p Ff (:) 62 b (eac) n (h) 39 b (счет) n (t) g (потребности) h (a) f (ответ) g (blo) r (c) n (k,) k (so) c (требуется) f (ответ) i (blo) r (c) n (k) f (con \ 014rmation) g (slo) n (w) n (ed) f (the) 390 3835 y (attac) n (k) n (er) 26 b (do) n (wn) h (достаточно) g (to) h (mak) n (e) e (this) i (attac) n (k) f (непривлекательно) n (e) 249 3968 y (спам 🙂 37 b (незапрошенные) 27 b (коммерческий) g (электронная почта) 390 4068 y Fc (p) l (искусственный) 39 b (растворы) p Ff (:) 55 b (\ (1 \)) 36 b Fc (nob) l (c) l (c) h Ff (con \ 014guration) d (опция) i (-) g (w) n (ork) n (ed) f (кроме) h (для) g (n) n (ym) g (пользователи) f (подписка) h (для) 390 4167 у (рассылка) 23 б (списки.) 36 b (\ (2 \)) 24 b (\\ спам-ловушка «) d (аккаунт) n (ts) i (к) g (идентификатор) n (tify) h (спам) g (источник) e (и) h (dela) n (y) g (их) h (почта) f (-) h (не) g (w) n (ork) 390 4267 y (b) r (ecause) k (спам) g (sen) n (t) g (через) f (a) h (remailer) e (dela) n (ys) h (the) i (remailer) 37 b (\ (3 \)) 28 b (отказать) g (mail) g (that) g (the) h (sm) n (tp) r (d) g (serv) n (er) 390 4366 y (не может) f (b) r (унция) 125 4549 y Fd (\ 017) 41 b Ff (The) 30 b (t) n (yp) r (es) f (of) h (злоупотребление) g (attac) n (ks) f (are) g (категоризировано) f (in) n (to) h (три) h (категории:) 40 b (con) n (v) n (en) n (tional) 28 b (attac) n (ks,) h (con) n (ten) n (t-based) 208 4649 y (злоупотребление,) 22 b (и) g (o) n (v) n (erloading.) 32 b (Con) n (v) n (en) n (tional) 20 b (attac) n (ks) g (включить) i (mail) g (b) r (om) n (bs) g (и) f (те) h (которые) g (эксплойт) f (уязвимости) 208 4748 y (in) 27 b (the) h (serv) n (er’s) e (OS.) h (Эти) h (являются) e (являются) h (не) h (частными) e (to) h (anon) n (ymous) f (услугами). 125 4914 y Fd (\ 017) 41 b Ff (Con) n (десять) n (основано на t) 36 b (злоупотребление) g (is) i (di \ 016cult) g (to) f (ручка) g (через) g (цензура.) 65 b (Следовательно,) 38 b (the) g (mail) f (pro) n (viders) f (m) n (ust) 208 5014 y (помощь) 27 b (получатель) n (ts) f (a) n (v) n (oid) g (un) n (w) n (an) n (ted) g (почта,) h (в то время как) g (k) n (eeping) f (the) i (отправители) e (una) n (w) n (are) f (that) i (их) g (сообщения) f (являются) g (b) r (eing) 208 5114 y (\ 014ltered) h (out.) 125 5280 y Fd (\ 017) 41 b Ff (Ov) n (erload) 30 b (attac) n (ks) i (can) h (b) r (e) g (раздали) g (b) n (y) g (приложение) g (bac) n (k) f (давление) g (to) h (the) g (отправители.) 52 b (Tw) n (o) 33 b (w) n (a) n (ys) e (are) h (in) n (tro) r (ducing) 208 5379 y (serv) n (er) 25 b (dela) n (ys) i (и) g (увеличение) f (h) n (uman) i (e \ 013ort) f (in) n (v) n (olv) n (ed) f (in) i (the) g (attac) n (ks.) 1928 г. 5635 л (1) п эоп %% Стр .: 2 2 2 1 боп 125-82 a Ff (de \ 014ciencies) 125 55 y Fd (\ 017) 41 b Ff (T) -7 b (o) r (da) n (y) g (,) 27 b (спам) h (is) h (вероятно) e (the) i (большинство) f (часто) g (жалоба) n (t) g (относительно) e (электронная почта) i (service.) 39 b (\ (На самом деле) 28 b (это) h (m) n (y) f (только) 208155 y (жаловаться) n (t) c (так) g (далеко. \)) 36 b (I) 25 b (w) n (as) f (разочарование) r (oin) n (ted) h (that) g (the) g (pap) r (er) g (did) g (not) g (включить) g (an) g (e \ 013ectiv) n (e) g (решение) f (for) g (это.) 37 b (The) 208 255 y (nob) r (cc) 26 b (метод) r (d) h (w) n (не мог) g (w) n (ork) e (in) i (the) g (CMU) g (en) n (vironmen) n (t) e (b) r (ecause) h (in) n (ternal) g (спам) g (\ (some) h (of) f (whic) n (h) h (I) f (w) n (ould) 208 354 y (lik) n (e) h (к) g (получено) n (e \)) g (часто) h (использует) f (the) h (b) r (cc) g (\ 014eld.) 37 b (Также) 27 b (спам) h (are) e (часто) i (b) r (унция) 125 492 y (выводы) 125 629 y Fd (\ 017) 41 b Ff (What) 33 b (is) g (in) n (интерес) g (ab) r (out) g (его) g (учеба) h (is) f (that) g (the) h (уроки) e (выучил) h (in) g (раздача) g (с) h (con) n (v) n (Ensional) d (attac) n (ks) 208 729 y (ha) n (v) n (e) e (подробнее) g (общие) g (приложения) 43 b (The) 31 b (w) n (a) n (ys) d (of) i (раздача) g (с) h (con) n (десять) n (на основе t) d (злоупотребление) i (являются) f (также) g (применимо) h (to) 208 829 y (не анонимно) n (ymous) d (электронная почта) j (pro) n (viders.) 42 b (мужчина) n (y) 29 b (w) n (на основе eb) g (электронная почта) h (pro) n (viders) e (supp) r (ort) h (blo) r (c) n (k) h (of) g (частный) e (отправитель) 208 928 у (адреса.) Р 0 1052 3898 4 в 125 1193 а Фе (Публий 🙂 41 b (a) 32 b (устойчивый,) f (tamp) s (er-Eviden) m (t,) f (сопротивление цензуре) m (t) h (w) m (eb) h (публикация) e (система) 125 1376 y Ff (imp) r (ortan) n (t) d (p) r (oin) n (ts) 125 1513 y Fd (\ 017) 41 b Ff (The) c (авторы) f (мотив) -5 b (ate) 37 b (the) g (w) n (ork) f (b) n (y) h (sa) n (ying) e (то) j (In) n (ternet) f (is) g (не может) g (to) g (сопротивляться) f (цензура.) 64 b (The) 37 b (sho) n (wn) 208 1613 y (пример) 27 b (иллюстрирует) g (закон) f (цензура) h (не) h (tec) n (hnological) d (suc) n (h) j (as) f (обсуждено) g (in) h (the) g (другое) f (pap) r (er.) 125 1765 y Fd (\ 017) 41 b Ff (Publius:) g (an) 30 b (anon) n (ymous) e (w) n (eb) i (публикация) g (система) g (that) g (mak) n (es) f (цензура) g (of) h (con) n (десять) n (t) f (di \ 016cult,) j (прячется) e (pub-) 208 1864 y (lisher’s) 24 b (идентификатор) n (tit) n (y) -7 b (,) 25 b (включает) g (вверх) r (датирование / удаление) g (of) f (опубликовано) i (материал) e (и) h (имеет) g (a) f (w) n (eb) h (in) n (terface) f (for) g (bro) n (wsing) 208 1964 y (the) k (con) n (ten) n (t.) 125 2116 y Fd (\ 017) 41 b Ff (Its) 27 b (дизайн) g (цели) f (and) i (ho) n (w) f (они) h (w) n (ere) e (met:) 301 2268 y Fe ({) 41 b Ff (сопротивление) d (to) g (цензура:) 58 b (третий) 39 b (часть) n (y) e (невозможно) h (легко) g (изменить) g (или) g (удалить) h (опубликовано) г (материал) д (без) 390 2367 г (га) н (винг) 27 b (чтение / запись) f (доступ) g (to) i (the) g (serv) n (ers) 301 2486 y Fe ({) 41 b Ff (набивка) r (er) 30 b (обнаружение:) 42 b (URL) 31 b (of) f (con) n (десять) n (t) f (is) h (криптографически) e (ссылка) n (ed) i (to) g (the) g (фактический) g (con) n (десять) n (t) f (и) h (a) g (доля) 390 2585 y (of) e (the) g (шифрование / дешифрование) e (k) n (ey) -7 b (,) 27 b (so) g (изменение) f (the) i (con) n (десять) n (t) f (результаты) g (дюйм) h (a) g (болтается) e (URL) 301 2704 y Fe ({) 41 b Ff (источник) 25 b (анон) n (ymit) n (y:) 35 b (клиент) n (t) 26 b (pro) n (xy) e (do) r (es) h (all) h (the) g (шифрование) f (to) h (скрыть) g (the) g (издатель) g (идентификатор) n (tit) n (y;) g (опубликовано) 390 2804 г. (материал) h (проживает) g (on) g (serv) n (ers) e (that) j (ha) n (v) n (e) f (no) g (идея) g (who) h (the) g (издатель) f (is) 301 2922 y Fe ({) 41 b Ff (вверх) r (dateble) 29 b (материал:) 37 b (the) 28 b (издатель) g (может) g (использовать) g (зашифрованный) g (пароль) n (ords) e (to) i (отправить) g (вверх) r (даты / удаления) f (to) h (the) 390 3022 y (serv) n (er) 301 3140 y Fe ({) 41 b Ff (отрицать) 28 b (con) n (десять) n (t:) 36 b (третий) 28 b (стороны) f (do) g (not) h (kno) n (w) e (the) i (опубликовано) g (con) n (ten) n (t) g (b) r (ecause) f (it) h (is) f (зашифровано) 301 3259 y Fe ({) 41 b Ff (ошибка) 28 b (толерантный) n (t:) 36 b (m) n (конечный) 28 b (serv) n (ers) e (host) h (the) h (con) n (десять) n (t) 301 3378 y Fe ({) 41 b Ff (p) r (ersisten) n (t:) c (опубликовано) 28 b (материалы) e (do) i (not) f (срок действия) 301 3496 y Fe ({) 41 b Ff (расширяемый:) c (на основе соединения) 26 b (anon) n (ymit) n (y) h (to) r (ols) g (can) g (далее) h (защита) f (пользователь) g (идентификатор) n (tit) n (y) 301 3615 y Fe ({) 41 b Ff (свободно) 27 b (a) n (v) -5 b (ailable:) 36 b (op) r (en) 28 b (источник) e (co) r (de) 125 3766 y (de \ 014ciencies) 125 3904 y Fd (\ 017) 41 b Ff (Publius) 27 b (supp) r (orts) g (только) g (статический) h (w) n (eb) f (con) n (ten) n (t,) g (ja) n (v) -5 b (индекс) 27 b (и) g (ограниченный) i (ja) n (v) -5 b (a) 27 b (апплеты.) 125 4056 y Fd (\ 017) 41 b Ff (Up) r (dateble) 28 b (опубликовано) g (con) n (ten) n (t) f (is) h (уязвимый) e (to) i (URL) g (перенаправление) e (attac) n (ks.) 125 4208 y Fd (\ 017) 41 b Ff (Retriv) -5 b (al) 27 b (of) g (a) h (w) n (eb) f (page) g (и) g (это) h (ссылка) n (ed) f (страницы) g (требуется) f (расшифровка) h (whic) n (h) h (ma) n (y) f (b) r (e) h (exp) r (ensiv) n (e.) 125 4359 y Fd (\ 017) 41 b Ff (Cho) r (osing) 24 b (the) j (минимум) n (um) f Fa (k) j Ff (доли) c (of) h (the) g (k) n (ey) f (необходимо) h (to) g (расшифровать) g (the) g (con) n (ten) n (t) g (and) g (the) g (n) n (um) n (b) r (er) g (of) f (копии) h (of) 208 4459 y (the) e (con) n (десять) n (t) f (to) h (получить) n (e) f (is) h (not) g (ob) n (vious) e (in) j (view) e (of) h (p) r (возможно) g (Attac) n (k) n (ers.) 34 b Fa (k) 27 b Ff (m) n (ust) d (not) g (b) r (e) g (меньше) g (чем) g (the) g (n) n (um) n (b) r (er) 208 4559 y (of) 31 b (доли) f (the) h (attac) n (k) n (er) f (имеет) g (повреждено) 47 b (The) 31 b (n) n (um) n (b) r (er) g (of) g (копии) g (восстановить) n (ed) f (также) g (m) n (ust) h (not) h (b) r (e) f (меньше) g (чем) g (the) 208 4658 y (n) n (um) n (b) r (er) e (the) h (attac) n (k) n (er) e (as) i (искажено.) 42 b (Но) 31 b (получение) d (больше) h (копии) g (w) n (ould) h (понести) f (signi \ 014can) n (t) h (pro) r (прекращение) e (и) 208 4758 y (net) n (w) n (ork) e (задержка) -7 байт (.) 125 4895 y (выводы) 26 b (ab) r (out) i (system) f (здание) 125 5033 y Fd (\ 017) 41 b Ff (The) 31 b (abilit) n (y) h (to) f (up) r (дата) h (и) f (удалить) h (опубликовано) g (материал) f (are) g (w) n (onderful) g (to) r (ols) g (for) g (the) h (издатель.) 49 b (But) 32 b (они) 208 5133 y (также) c (pro) n (vide) h (the) h (attac) n (k) n (ers) d (больше) i (w) n (a) n (ys) f (to) i (повреждение) e (the) i (опубликовано) h (con) n (десять) n (t.) 42 b (Добавление) 30 b (больше) f (характеристики) g (средства) 208 5232 y (добавление) c (больше) f (защитный) n (e) h (меры,) f (и) i (the) f (защита) n (e) g (меры) f (следует) h (b) r (e) h (a) f (часть) g (of) g (the) h (дизайн) f (from) g (the) 208 5332 y (b) r (начало.) 1928 г. 5635 л (2) п эоп %% трейлер конец userdict / end-hook известно {end-hook}, если %% EOF

Новый визит в Нымайм CERT Polska

Введение

Nymaim был обнаружен в 2013 году. В то время это был только дроппер, используемый для распространения TorrentLocker. В феврале 2016 года он снова стал популярным после включения утечки кода ISFB, получившего название Гозным. Это воплощение Nymaim было интересно для нас, потому что оно обрело банковские возможности и стало серьезной угрозой для Польши.Из-за этого мы тщательно исследовали его и с тех пор смогли отслеживать деятельность Нымайма.

Однако за последние два месяца многое изменилось. В частности, была отключена сеть Fast-flux Avalanche (которая была центральной для операций в Нымайме), что нанесло серьезный удар по деятельности Нымайма. Две недели все замолчали, и даже сегодня Нымайм — тень самого себя. Хотя он все еще активен в Германии (с новыми инъекциями), мы не наблюдали какой-либо серьезной активности в последнее время в Польше.

Обфускация

Эта тема действительно хорошо изучена другими командами, но все же достаточно интересна, чтобы ее стоит упомянуть. Nymaim сильно запутан с помощью специального обфускатора — до такой степени, что анализ практически невозможен. Например, типичный код после обфускации выглядит так:

Но, приложив некоторые усилия, мы можем разобраться в этом. Используется множество техник обфускации, поэтому мы рассмотрим их один за другим:

Прежде всего, регистры обычно не помещаются непосредственно в стек, но используется вспомогательная функция «push_cpu_register».Например, push_cpu_register (0x53) эквивалентно нажатию ebx, а push_cpu_register (0x50) эквивалентно нажатию eax. Константы не всегда одинаковы, но регистры всегда в одном и том же порядке (стандартный порядок x86).

. регистр постоянная
0 eax 0x50
1 ECX 0x51
2 EBX 0x52
3 edx 0x53
4 esp 0x54
5 EBP 0x55
6 ESI 0x56
7 edi 0x57

Кроме того, большинство констант в коде также запутываются — например, mov eax, 25 можно изменить на:

В примере используется константа 8CBFB5DA, но в ней нет ничего особенного — это случайное значение двойного слова, созданное только для того, чтобы скрыть эту константу.Единственное, что имеет значение, — это результат операции (в данном случае 0x25).

Кроме того, иногда используются другие похожие функции обфускации — например sub _ * _ from_eax и add _ * _ to_eax.

И последнее, но не менее важное: поток управления сильно запутан. Используется много методов обфускации потока управления, но все они сводятся к простому преобразованию — вызов X и jmp X преобразуются как минимум в два нажатия. Эта обфускация на самом деле очень похожа на предыдущую — вместо перехода на 0x42424242 вредоносная программа вызывает обход функции с двумя параметрами: 0x40404040 и 0x02020202.Объезд добавляет параметры и переходит к результату. В псевдоазме вместо:

имеем:

Существует также небольшая вариация этого метода — вместо проталкивания двух констант иногда проталкивается только одна константа, а машинный код после кода операции вызова используется вместо второй константы (обходной путь использует адрес возврата как указатель на вторую константу) .

В итоге, ранее вставленный обфусцированный код следует читать так:

Имея это в виду, мы создали собственный деобфускатор.Это было довольно давно, и с тех пор появились другие решения. Наш деобфускатор, вероятно, не самый лучший, но его легко изменить для наших нужд, и он имеет некоторые уникальные (насколько нам известно) функции, которые нам нужны, например, он импортирует восстановление и дешифрование зашифрованных строк, хранящихся в двоичном формате. Среди других деобфускаторов — mynaim и ida-patchwork. Тем не менее, с помощью нашего деобфускатора мы можем распутать этот беспорядочный код и получить что-то управляемое:

Когда дело доходит до возможностей обфускации Nymaim, это еще не конец.Например, внешние функции не вызываются напрямую, вместо них используется продуманная оболочка:

Эта оболочка помещает хэш имени функции в стек и переходит к следующему диспетчеру (даже если используется код операции вызова, этот код здесь никогда не возвращается):

Второй диспетчер помещает хэш имени dll в стек и переходит к вспомогательной функции:

И наконец исполняется настоящий диспетчер:

Кроме того, реальный адрес возврата из API запутывается — адрес возврата устанавливается для вызова ebx где-нибудь в ntdll (реальный адрес возврата к тому времени, конечно, находится где-то в ebx).Это очень сбивает с толку большинство инструментов. Скажем так, это очень неприятно при отладке и / или пошаговом режиме.

Но подождите, это еще не все! Как мы видели, короткие константы запутываются простыми математическими операциями, но как насчет более длинных констант, например строк? Не бойтесь, у авторов вредоносного ПО тоже есть решение. Практически каждая константа, используемая в программе, хранится в специальном разделе данных. Когда Nymaim нужно использовать одну из этих констант, он использует специальную функцию encrypted_memcpy.По сути, это не очень сложно:

Внутренняя работа memcpy_and_decrypt не так уж и сложна. Наша повторная реализация алгоритма шифрования на Python занимает всего несколько строк:

Нам нужно только извлечь константы, используемые для шифрования (они различаются между исполняемыми файлами) — они скрыты в этих частях кода:

(Эти функции не запутываются, поэтому извлечение может быть выполнено с помощью простого сопоставления с образцом).

Но шифрование каждой константы было недостаточно. Авторы вредоносных программ решили, что они могут добиться большего — почему бы не зашифровать и код? Это не очень часто используется, но несколько важных функций хранятся в зашифрованном и дешифрованном виде непосредственно перед вызовом. Совершенно необычный подход, это точно. Хорошо, оставим на этом запутывание.

Статическая конфигурация

После деобфускации код легче анализировать, и мы можем перейти к интересным вещам. Прежде всего, мы хотим извлечь статическую конфигурацию из двоичных файлов, особенно такие, как:

    • Адреса управления и контроля
    • хешей DGA
    • Ключи шифрования
    • Версия вредоносного ПО
    • Прочие вещи, необходимые для связи

Насколько это может быть сложно? Оказывается, это сложнее, чем кажется — потому что эта информация , а не , просто хранится в разделе зашифрованных данных.

К счастью, на этот раз алгоритм шифрования довольно прост.

Нам просто нужно указать nymaim_config_crypt на начало зашифрованной статической конфигурации, и все будет работать.

Как узнать, где начинается статическая конфигурация? Что ж … Мы попробовали несколько умных подходов (сопоставление кода и т. Д.), Но они оказались недостаточно надежными для нас. Наконец, мы решили эту проблему с помощью простейшего возможного решения — мы просто пробуем все возможные индексы в двоичном формате и пытаемся расшифровать их оттуда.Это может показаться глупым (и это так), но с несколькими тривиальными эвристиками (статическая конфигурация не займет 3 байта пространства и не займет 3 мегабайта), это довольно быстро — менее 1 секунды для типичного двоичного файла — и работает каждый раз .

Несмотря на это, после расшифровки статического конфига мы получаем довольно красивую структуру, которую легко разобрать. Он состоит из нескольких последовательных «фрагментов», каждому из которых назначен тип, длина и данные (для тех, кто знаком с форматами файлов, это что-то очень похожее на PNG, wav или любой другой RIFF).

Графически это выглядит так:

И чанки размещаются последовательно в статическом блоке конфигурации:

Таким образом, мы можем быстро просмотреть все фрагменты статической конфигурации с помощью простого пятистрочного файла:

Фрагмент из process_chunk (hash == chunk_type):

После первоначального разбора статический конфиг выглядит так:

(Кстати, в этой статье типы чанков обычно представлены в байтовом порядке, т.е.с прямым порядком байтов)

И в более удобочитаемой форме с интерпретацией наиболее интересных фрагментов:

Хронология заражения

Существует более чем один «вид» Нымаймов. На данный момент мы различаем три вида:

    • дроппер — первый Nymaim, который запускается в системе. Это единственный вид, который распространяется непосредственно среди жертв.
    • Полезная нагрузка
    • — модуль, отвечающий за большую часть «реальной работы» — например, веб-инъекции
    • bot_peer — модуль, отвечающий за P2P-коммуникацию.Он пытается стать надузлом в ботнете.

Все это вредоносные программы одного типа, и все они имеют одну и ту же кодовую базу, за исключением нескольких специализированных функций. Например, наш статический экстрактор конфигурации работает со всеми из них, как и наш деобфускатор, и все они используют один и тот же сетевой протокол.

Роль капельницы проста. Он выполняет несколько проверок работоспособности — например:

    • Убедитесь, что он не виртуализирован и не инкубирован.
    • Сравнивает текущую дату со «сроком действия» из статической конфигурации
    • Проверяет, что DNS работает должным образом (пытаясь разрешить microsoft.com и google.com)

Если что-то не так, дроппер отключается и заражение не происходит.

Вторая проверка особенно раздражает, потому что если вы хотите заразить себя, Nymaim должен быть действительно «свежим» — старые исполняемые файлы не будут работать. Даже если вы переопределите проверку в двоичном файле, это также будет проверено на стороне сервера, и полезная нагрузка не будет загружена.

Если мы хотим подключиться к экземпляру Nymaim, нам нужно знать IP-адрес однорангового узла / C&C.Статическая конфигурация содержит (среди прочего) две интересные части информации:

    • DNS-сервер (практически всегда 8.8.8.8 и 8.8.4.4).
    • C&C доменное имя (например, ejdqzkd.com или sjzmvclevg.com).

Nymaim разрешает этот домен, но возвращенные записи A не являются реальными адресами C&C — они используются в другом алгоритме для получения реального IP-адреса. Мы не будем воспроизводить здесь этот код, но на эту тему есть отличная статья от Talos.Если кого-то интересует только код DGA, его можно найти здесь:

https://github.com/vrtadmin/goznym/blob/master/DGA_release.py

Когда дроппер получает адрес C&C, он начинает реальную связь. Он загружает два важных двоичных файла и многое другое:

    • payload — banker module (отвечает за веб-инъекции — пассивный участник ботнета)
    • дополнительный модуль бота (он пытается открыть порты на маршрутизаторе и стать активной частью ботнета.Когда этого не происходит, он удаляется из системы).
    • несколько дополнительных вредоносных двоичных файлов (VNC, кражи паролей и т. Д. — нам не очень интересно).

DGA

Полезная нагрузка сильно отличается от дроппера, когда дело доходит до сетевой связи:

    • Без жестко заданного домена
    • Но есть DGA
    • и P2P

Алгоритм DGA полезной нагрузки действительно прост — символы генерируются один за другим с помощью простой псевдослучайной функции (вариация xorshift).Начальное состояние DGA зависит только от начального числа (хранящегося в статической конфигурации) и текущей даты, поэтому мы можем легко предсказать его для любого заданного двоичного файла. Кроме того, исследователи из Talos перебрали действительные начальные числа, что еще больше упростило задачу прогнозирования предметной области.

P2P

Прежде всего, несколько примеров, почему мы с самого начала подозревали, что есть еще что-то, кроме DGA:

Мы взяли один из наших двоичных файлов, который не вел себя как полезная нагрузка, распаковали его, деобфусцировали и перепроектировали.Но даже без глубокого анализа мы обнаружили много намеков на то, что P2P может иметь место. Например, мы можем найти строки, типичные для добавления исключения в брандмауэр Windows (и, конечно же, это то, что делала вредоносная программа при запуске на реальной машине).

Еще одно подозрительное поведение — открытие портов на маршрутизаторе с помощью UPNP. Благодаря этому зараженные устройства со всего мира могут подключаться к нему напрямую.

И, наконец, кое-что еще более выдающееся. Как мы видели, вредоносная программа представляет собой Nginx в заголовке «Сервер».Откуда этот заголовок? Непосредственно из двоичного кода:

Мы внедрили трекер для ботнета (подробнее об этом позже) и на основании полученных данных пришли к выводу, что это, вероятно, единственный ботнет, но с геолокационными инъекциями (например, польские и американские инъекции очень похожи). Распределение IP-адресов, которые мы обнаружили, аналогично тому, что определили другие исследователи (мы обнаружили больше узлов PL и меньше США, чем другие, но это, вероятно, потому, что ботнет геолокационирован, и мы больше ориентировались на Польшу).

49,9% (~ 7,5 тыс.) Найденных суперузлов были в Польше, 30% (~ 4,5 тыс.) В Германии и 15,7% (~ 2,2 тыс.) В США.

Сетевой протокол

А теперь кое-что более техническое. Это пример типичного запроса Nymaim (для связи P2P и C2 используется один и тот же протокол внутри):

    • Заголовок хоста взят из статической конфигурации
    • Имя и путь рандомизированной переменной POST
    • Значение переменной POST = зашифрованный запрос (в кодировке base64)
    • User-Agent и остальные заголовки генерируются WinHTTP (поэтому заголовки не очень уникальны и невозможно обнаружить сетевые запросы Nymaim, используя только их).

Типовой ответ:

    • Это не совсем Nginx, просто притворство.
    • Все, кроме раздела данных, жестко запрограммировано
    • Данные = зашифрованный запрос

Зашифрованные сообщения имеют очень специфический формат:

Младший полубайт первого байта равен длине соли, а младший полубайт второго байта равен длине заполнения. Все, что находится между солью и заполнением — это зашифрованное сообщение.Чтобы расшифровать его, нам нужно объединить ключ с солью и использовать этот пароль с алгоритмом rc4.

Его можно легко расшифровать с помощью Python (но сначала нам пришлось перепроектировать этот алгоритм):

После расшифровки сообщения мы получаем что-то с форматом, очень похожим на статический конфиг (то есть последовательность последовательных фрагментов):

Каждый блок имеет свой тип, длину и необработанные данные:

Мы можем обрабатывать расшифрованное сообщение почти с тем же кодом, что и код для статической конфигурации:

И это основной код, используемый для разбора сообщения.Каждый тип блока нужно обрабатывать по-своему. Интересно, что синтаксический анализ сообщения является рекурсивным, потому что некоторые типы фрагментов могут содержать другие списки фрагментов, которые, в свою очередь, могут содержать другие списки фрагментов и т. Д. К сожалению, важные фрагменты имеют другой уровень шифрования и сжатия. В конце зашифрованного фрагмента мы можем найти специальный зашифрованный RSA (или, скорее, подписанный) заголовок. После расшифровки (отмены подписи) заголовка мы можем восстановить хэш md5 и длину расшифрованных данных и, самое главное, ключ шифрования Serpent, используемый для шифрования данных.

После расшифровки мы наткнемся на другой метод упаковки — расшифрованные данные сжимаются с помощью APLIB32. Эта структура очень похожа на ту, что используется в ISFB — сначала у нас есть магическая «ARCH», затем длина сжатых данных, длина несжатых данных и crc32 — все это двойные слова (4 байта).

Опять же, Python не может справиться ни с чем. Мы быстро взломали эту функцию, чтобы восстановить реальные данные, скрытые под ней:

Благодаря этой функции нам наконец-то удалось сорвать джекпот.Мы расшифровали все интересные артефакты, передаваемые по сети, самое главное — дополнительные загруженные двоичные файлы, веб-фильтры и инъекции.

Связь

Пример запроса после вскрытия может выглядеть так:

Как видим, здесь много чего разносят. Есть , много отпечатков пальцев везде и некоторая информация о текущем состоянии.

Ответы часто бывают более подробными, но для презентации давайте разберем один простой:

Зараженная машина узнает свой общедоступный IP-адрес, IP-адреса (и порты прослушивания) своих сверстников и активный домен.Кроме того, ему обычно приказывают спать на некоторое время (обычно 90 секунд, когда некоторые файлы ожидают передачи, и 280 секунд, когда ничего особенного не происходит).

Вот список типов фрагментов, которые мы можем проанализировать и понять:

хэш фрагмента краткое описание
ffd5e56e отпечаток пальца 1
014e2be0 отпечаток пальца 2 + отметки времени
f77006f9 отпечаток пальца 3
22451ed7 crcs последних полученных фрагментов типа be8ec514 и 0282aa05
b873dfe0 , вероятно, флаг «включен» (может быть только 1 или 0)
0c526e8b вложенный чанк (расшифровать с помощью nymaim_config_crypt, распаковать с помощью aplib, рекурсивно повторить синтаксический анализ)
875c2fbf простой (незашифрованный) исполняемый файл
08750ec5 вложенный чанк (расшифровать с помощью nymaim_config_crypt, распаковать с помощью aplib, рекурсивно повторить синтаксический анализ)
1f5e1840 вводит (расшифровать с помощью serpent, распаковать с помощью аплиба, проанализировать двоичный формат ISFB)
76daea91 рукопожатие капельницы (маркер, без данных)
be8ec514 список одноранговых IP-адресов
138bee04 список одноранговых IP-адресов
1a701ad9 зашифрованный двоичный файл (расшифровать с помощью serpent, распаковать с помощью аплиба, сохранить)
30f01ee5 зашифрованный двоичный файл (расшифровать с помощью serpent, распаковать с помощью аплиба, сохранить)
3bbc6128 зашифрованный двоичный файл (расшифровать с помощью serpent, распаковать с помощью аплиба, сохранить)
39bc61ae зашифрованный двоичный файл (расшифровать с помощью serpent, распаковать с помощью аплиба, сохранить)
261dc56c зашифрованный двоичный файл (расшифровать с помощью serpent, распаковать с помощью аплиба, сохранить)
a01fc56c зашифрованный двоичный файл (расшифровать с помощью serpent, распаковать с помощью аплиба, сохранить)
76fbf55a набивка
cae9ea25 вложенный чанк (расшифровать с помощью nymaim_config_crypt, распаковать с помощью aplib, рекурсивно повторить синтаксический анализ)
0282aa05 вложенный чанк (расшифровать с помощью nymaim_config_crypt, распаковать с помощью aplib, рекурсивно повторить синтаксический анализ)
d2bf6f4a государственная информация
41f2e735 веб-фильтры
1ec0a948 веб-фильтры
18c0a95e веб-фильтры
3d717c2e веб-фильтры
8de8f7e6 datetime (цель неизвестна, всегда на несколько дней впереди текущей даты)
3e5a221c список загруженных дополнительных двоичных файлов
5babb165 подтверждение полезной нагрузки (маркер, без данных)
b84216c7 публичный IP-адрес зараженной машины
cb0e30c4 количество секунд до перехода в спящий режим
f31cc18f дополнительный CRC32 загруженных двоичных файлов
920f2f0c вводит (расшифровать с помощью serpent, распаковать с помощью аплиба, проанализировать двоичный формат ISFB)
930f2f0c вводит (расшифровать с помощью serpent, распаковать с помощью аплиба, проанализировать двоичный формат ISFB)

Может показаться, что это много, но есть много вещей, которые мы не пытались понять (мы игнорировали большинство фрагментов размером с двойное слово или всегда нулевые фрагменты).

После извлечения всего из сообщений мы, наконец, можем взглянуть на инъекции. Например польские:

(на сегодняшний день 304 различных инъекций)

Или вводит в США:

(на сегодняшний день 393 различных инъекций)

Ресурсы

Яра правил:

Хешей (md5):

    • Полезная нагрузка 2016-10-20, 9d6cb537d65240bbe417815243e56461, версия

    • Капельница 2016-10-20, a395c8475ad51459aeaf01166e333179, версия 80018
    • Полезная нагрузка 05.10.2016, 744d184bf8ea92270f77c6b2eea28896, версия
    • Payload 04.10.2016, 6b31500ddd7a55a8882ebac03d731a3e, версия

    • Капельница 12.04.2016, cb3d058a78196e5c80a8ec83a73c2a79, версия 80017
    • Капельница 09.04.2016, 8a9ae9f4c96c2409137cc361fc5740e9, версия 80016

Репозиторий с нашими инструментами: nymaim-tools

Другие исследования

Использование анонимного рассылки APAS [FAQ 6/8]: Программное обеспечение

Автор: auto-faq 3.3 (Perl 5.004)
Имя-архива: privacy / anon-server / faq / use / part6
Изменения: 1.8 25.03.2001 14:41:27
Частота публикаций: ежемесячно
Появится список последних изменений в списке часто задаваемых вопросов.
на следующей неделе.
Каждую среду публикуется статья о том, как найти ответы на часто задаваемые вопросы.
URL: http://www.eskimo.com/~turing/remailer/FAQ/
Тема: Использование анонимного рассылки APAS [FAQ 6/8]: Программное обеспечение

Это шестая из восьми частей списка часто задаваемых
вопросы и ответы об анонимном использовании ремейлера.Этот
часть отвечает на вопрос: «Какое программное обеспечение мне следует использовать?»

Этот FAQ предоставляется «как есть» без каких-либо явных или подразумеваемых
гарантии. Хотя были предприняты все усилия для обеспечения точности
информации, содержащейся в этих дайджестах сообщений, сопровождающий
не несет ответственности за ошибки или упущения, а также за ущерб
в результате использования информации, содержащейся в данном документе. Этот FAQ
предоставляется только для информации; ссылка на веб-страницу не
представляют собой одобрение содержания этой страницы.В этом FAQ включены следующие темы:

   1: [FAQ 6.1] Вы рекомендуете мне изучить PGP (Pretty Good Privacy)?
   2: [FAQ 6.2] Какой клиент ремейлера мне выбрать?

 
Тема: [FAQ 6.1] Вы рекомендуете мне изучить PGP (Pretty Good Privacy)? да. Абсолютно. В Интернете есть множество отличных страниц с обучающими материалами. со ссылками, указывающими на версию, которая вам подходит. Действительно отличный учебник для новичков здесь . Последняя стабильная версия - PGP - 6.5,8 К счастью, есть много места для загрузки PGP . Версии Desktop Security, Personal Privacy или Freeware; все это рекомендуется, хотя они довольно раздутые (7-11 мегабайт). Что бы ни версию, которую вы выберете, она должна быть способна создавать и работать с Ключи RSA, так как это то, что программное обеспечение remailer и программное обеспечение сервера nym использовать по большей части. Посетите этот отличный веб-сайт для описание того, какие версии поддерживают ключи RSA, ключи Диффи-Хеллмана или оба. Ранние версии PGP для командной строки очень популярны среди ремейлеров. пользователей. PGP 2.6.3i-win32 стал чем-то вроде стандарта для пользователей Windows. Он мал, «рок» стабильный и, кажется, «хорошо ладит с другими». 'Отлично компаньон для любого клиента ремейлера. См. Также легко читаемый FAQ по PGP Тома МакКьюна. ; и еще один учебник по PGP ;
Тема: [FAQ 6.2] Какой клиент-ремейлер мне выбрать? Разберитесь с использованием самого шифрования PGP. Найдите друга, который использует его и обменивается ключами. Затем заведите клиента ремейлера. Что же выбрать: ну ... краткий ответ: Quicksilver или Джек Б. Нимбл. Подробный ответ: я перечислил несколько инструментов ремейлера ниже. Есть несколько других (Anonpost, Crusader, John Doe ...), у меня выбрали, чтобы выделить десять программ ниже, потому что именно они которые легко доступны в Интернете и бесплатно.Однако перед тем, как попробовать эти программы, я бы хотел предупредить: Насколько мне известно, в настоящее время не существует клиента ремейлера, который функции "из коробки". Все клиенты ремейлера (особенно те, которые больше не поддерживаются) требуют некоторой доработки и настройку, чтобы заставить их работать с текущим набором ремейлеров и URL-адреса статистики. Просто чтобы вы знали ... Я очень рекомендую QuickSilver, потому что это одна из немногих программ там, где активно поддерживается и развивается.Если ты проведя любое количество времени в APAS, вы видели много Quicksilver там анонсированы обновления. JBN тоже великолепен. И ты найдешь ответы на ваши вопросы JBN просто прячутся здесь, в APAS. Для Windows: QuickSilver Наконец, Mixmaster стало проще! Эта бесплатная программа является новейшей из клиентов ремейлера. Это почтовый клиент Mixmaster. Он может отправить анонимная электронная почта и отправка анонимных статей в группы новостей через Mixmaster ремейлерные цепи. Сама QS не имеет шифрования возможности.Вместо этого он служит "интерфейсом" графического интерфейса для Ульфа. Mixmaster 2.9beta Мллера. Недавно автор QS Ричард Кристман написал PGP-плагин для Ртуть. Итак, теперь это не только Клиент Mixmaster. Это также клиент ремейлера Cypherpunk! Джек Б. Нимбл 2 (Из Руководства пользователя :) "Jack B. Nymble 2 (или JBN) - многофункциональный Почтовый клиент Windows, который упрощает использование анонимных ремейлеров для анонимной электронной почты и публикации сообщений в группах новостей.Он включает в себя простоту доступа и автоматизация для начинающих пользователей, а также сложное управление ремейлера сообщений для более продвинутых пользователей. Поддержка включена для Зашифрованные сообщения PGP, сообщения Mixmaster, вложения и MIME Почта. JBN2 также включает поддержку почты nym и учётной записи nym. создание блока ответа (см. # 7.1- # 7.4), централизованная постановка в очередь и отправка через SMTP, извлечение POP3, извлечение NNTP и автоматическую почту Nym расшифровка. Он также включает в себя мини-браузер, используемый для загрузки статистика надежности ремейлера, ключи и веб-страницы.Поддержка включен для PGP версий 5.5.3x и 6.x, в дополнение к версии DOS 2.6.x. Mixmaster 2.0.4 также полностью поддерживается ». Кроме того, отличную документацию и файлы помощи можно найти на сайте Домашняя страница Potatoware . Рядовой Айдахо ПИ. это почтовый клиент для Windows, который упрощает создание и отправка анонимных сообщений ремейлера. Это также упрощает создание учетных записей ним, а также отправка / получение и расшифровка ним сообщения.Он доступен как в 16-битной, так и в 32-битной версиях. А требуется правильно установленная версия PGP. Дополнительно Mixmaster сообщения также могут быть созданы и отправлены, если Mixmaster установлен на твой компьютер. Автор, Джоэл Макнамара, больше не поддерживает это программа и возраст показывает. Пытаюсь заставить PI делать то, что вы хотите делать, вероятно, больше хлопот, чем оно того стоит. Если ты хочешь дать это на ходу я бы порекомендовал 16-битную версию Иэна Линэга с доступным исходным кодом.См. Также эту отличную страницу часто задаваемых вопросов, связанных с Private Idaho. и учебник Танатопа по Remailers, Nyms и Private Idaho . Картофель и расшифровка Potato - это бесплатный клиент ремейлера для DOS, который хорошо работает в Windows. Это программное обеспечение готовит анонимные сообщения, которые затем отправлено по почте с помощью вашего почтового клиента. Decrypt - это утилита для расшифровки почты поставляется с Potato, доступным как отдельное приложение.Эти программы являются ранними творениями RProcess, автора JBN и надежный Remailer - популярный сервер-ремейлер для Win95 / 98. Mixmaster Для пользователей DOS - Mixmaster v 2.0.4. Для пользователей DOS / Windows Mixmaster 2.9beta - это то, что вам нужно. Это две версии, которые чаще всего используется. Mixmaster может использоваться сам по себе как клиент или как ремейлер. Но для пользователей Windows мы предлагаем использовать один из отличных Вышеупомянутые клиенты GUI совместно с Mixmaster.Для Mac: Mixfit (он же Macmixmaster) Клиент Mixmaster для Mac. Как и Potato, эта программа не отправляет Сообщение Mixmaster, которое он создал. Вы должны вырезать и вставить его в ваш любимый почтовый клиент. Дополнительные загрузки для Mac, связанные с шифрованием и безопасностью, можно найти здесь. и здесь ; Для множества интересное программное обеспечение для работы с электронной почтой, включая Mac Remailer (!) под названием AnonAIMouS попробуйте здесь ; Для Unix / Linux: Mixmaster Mixmaster для ОС Unix / Linux. Тот же исполняемый файл может использоваться как клиент или как ремейлер. Ремейлер можно установить на любой * nix аккаунт, который может получать почту. Сообщения, не являющиеся ремейлерами, будут доставлены как обычно. Если у вас есть root-доступ, вы можете создать нового пользователя (например, remailer) и установите Mixmaster под этим идентификатором пользователя. В Сценарий iInstall обеспечивает простой способ настройки ремейлера.В качестве ремейлера Mixmaster может быть настроен так, чтобы дополнительно принимать и обрабатывать сообщения ремейлера Cypherpunk. Фактически, это самый лучший способ Ремейлеры работают сегодня: как гибрид Cpunk и Mix. Предварительная почта Premail - более старая, но все еще полезная программа, написанная Рафом Левиеном. для использования с ремейлерами. Полностью поддерживает создание Cypherpunk. и сообщения Mixmaster. Возможно, наиболее полезным является его способность создавать и управляйте учетными записями ним с хорошей безопасностью и простыми командами.В Premail не только является ремейлером, но и поддерживает PGP и S / MIME. для стандартной защищенной электронной почты в Интернете. Работает с mh, elm, Mutt и более новые версии Netscape. Для этого требуется, чтобы на вашем компьютере был установлен Perl. компьютер. RemOp ныне несуществующего Septic Remailer предупреждает: «Прерывает работу Premail. при отправке почты ним, который был подписан чем-то другим, кроме PGP 2.6.x. " См. Также . SendNym Совершенно новая программа от [email protected] Заменяет Sendmail по отношению к вашему почтовому клиенту и облегчает использование nyms, отправив простые команды nym вашему почтовому клиенту, что позволяет пользователи могут легко переключаться между отправкой через свой ним и отправкой через их обычную электронную почту. Это не создаст им для ты. Это должно быть сделано пользователем вручную перед использованием Sendnym. Это поддерживает публикацию в Usenet и случайный выбор цепочки (через Mixmaster.) Sendnym был успешно протестирован на Linux 2.2.17. Это требует: * Система nix с установленными Sendmail, Perl и Mixmaster. Кроме того, ваш почтовый клиент должен позволять настраивать имя и расположение Sendmail (например, Pine). Mailcrypt Mailcrypt не является клиентом ремейлера, но является интерфейсом Emacs для PGP. и шифрование GnuPG с функциями для шифрование и дешифрование электронной почты и новостей. См. Также эту страницу для больше анонимных клиентов-ремейлеров, в том числе не обслуживаемых Анонпост, Есыным и т.д ... ------------------------------ Конец дайджеста faq.6 *******************

Под капотом для анализа ГозНым

В апреле 2016 года IBM X-Force Research обнаружила гибрид вредоносного ПО, который сочетает в себе загрузчик Nymaim и модуль финансового мошенничества троянца Gozi, назвав это новое банковское вредоносное ПО GozNym.

Внутреннее устройство ГозНым весьма интересно. Этот пост представляет собой обзор основной структуры троянца GozNym с дополнительными подробностями о его компонентах, способствующих мошенничеству, по данным X-Force Research.

Двуглавый зверь

Гози (ISFB)

Gozi, также известный как ISFB или Ursnif, — это финансовый троян, исходный код которого дважды просачивался. Первая и наиболее значительная утечка произошла в 2010 году, а вторая произошла в конце 2015 года. Основные части кода Gozi широко использовались в последние несколько лет и до сих пор используются различными киберпреступниками.

Gozi остается популярным благодаря эффективности исходного кода и его модульности. Два заслуживающих внимания модуля, которые поддерживают актуальность этого вредоносного ПО:

  1. Главный модуль Gozi , который позволяет внедрять финансовый модуль в веб-браузеры, взаимодействует с сервером управления и контроля (C&C) и обеспечивает его операционные и скрытые функции; и
  2. Финансовый модуль , который внедряется в браузеры и используется, среди прочего, для развертывания вредоносных веб-инъекций.

Нымайм

Вредоносное ПО Nymaim существует с 2011 года и всегда известно, что оно развертывается в сочетании с дополнительными вредоносными программами. Такого рода троян обычно называют загрузчиком.

В первые дни своего существования в 2011 году Nymaim использовался исключительно для удаления программ-вымогателей — задолго до того, как программы-вымогатели стали столь же распространенными, как сегодня. Хотя с тех пор операторы Nymaim касались финансовых вредоносных программ, они никогда не останавливались на каком-либо конкретном банковском трояне до 2015 года.

ГозНым выходит

В конце 2015 года исследователи IBM X-Force начали обнаруживать скрытые кампании заражения вредоносным ПО, в ходе которых Нимайм загружал троян Gozi, а затем использовал его в мошеннических атаках на клиентов онлайн-банкинга. Эти кампании побудили к более подробному расследованию злонамеренной деятельности Нымайма и в конечном итоге привели исследователей к открытию новой гибридной формы Нымайма, которая получила название ГозНым.

Этот режим развертывания изменился в начале 2016 года, когда исследователи X-Force заметили тонкую, но существенную модификацию в коде этой вредоносной программы: Nymaim начал использовать модифицированную версию финансового модуля Gozi и встроил ее в реальный код.Эта версия модуля может использоваться только в сочетании с другим фрагментом кода, который был внедрен в браузер. Сделав это изменение, Nymaim больше не был простым загрузчиком, используемым для запуска других вредоносных программ. Скорее, он стал гибридным банковским троянцем, который стоит сам по себе и детектируется как таковой.

С момента появления его гибридной формы исследователи X-Force уделяли пристальное внимание ГозНому. Они заметили, что он стал одним из самых активных игроков на арене финансового вредоносного ПО с такими возможностями, как атаки перенаправления, которые типично зарезервированы для элитных банд киберпреступников, таких как Dridex.

Путь ГозНима к машинам жертв

Наиболее распространенный метод заражения, который мы наблюдали с GozNym, — это трехэтапный процесс, который начинается с фишинговых писем, содержащих отравленные документы Word. В кампаниях, изученных исследователями X-Force, вредоносные макросы в документах запускали вариант вредоносной программы Pony Stealer, которая, в свою очередь, загружала и запускала установщик / загрузчик GozNym.

Начало хитрого уклонения от безопасности

Казнь ГозНима начинается с того, что он избегает исследователей.Мы каждый раз наблюдали за выборками, используя разные техники уклонения, но выделяется один доминирующий метод: проверка времени . При такой проверке со стороны GozNym вредоносное ПО не будет запускаться, если текущая дата выполнения не будет очень близка ко времени кампании заражения. Таким образом, если исследователи попытаются выполнить выборку даже через несколько дней после кампании, она не будет работать без дополнительных действий.

Еще один антиисследовательский прием, который мы видели в процессе развертывания GozNym, — это фильтрация жертв по геолокации.Чтобы отфильтровать нерелевантные машины из намеченных целей кампании, C&C сервер будет проверять геолокацию IP жертвы и останавливать выполнение вредоносной программы на машинах из неправильной страны. Это способствовало тому, что вредоносное ПО смогло удерживать конечные точки исследователей от ботнета.

Погрузчик ГозНима закладывает основу

При стандартном потоке заражения загрузчик GozNym запускает пустой процесс Rundll32.exe, который, в свою очередь, внедряет свою полезную нагрузку в другие процессы. Сама полезная нагрузка сильно запутана.

Загрузчик

ГозНым прослойки по дополнительным антиразведочным методикам. Первый — это обфускация потока управления , который состоит из нескольких механизмов. Когда они объединены, они затрудняют для исследователей безопасности возможность статически следить за потоком управления программой.

Другой используемый здесь антиисследовательский метод — это обфускация API . Вместо прямого вызова WinAPI GozNym хеширует значение вместо вызова, а затем продолжает хеширование каждого WinAPI до тех пор, пока не встретит соответствующий хэш, чтобы найти свою цель.Строки скрываются и динамически дешифруются только при необходимости. После использования строка перезаписывается, чтобы не оставлять следов в памяти.

Чтобы удержать жертву после перезагрузки системы, GozNym использует несколько механизмов сохранения. С одной стороны, наличие избыточности в этом аспекте полезно, поскольку заражение останется, даже если присутствуют только части кода. С другой стороны, это добавляет лишнего шума и делает ГозНым более заметным.

Значения прогона реестра, используемые гибридом GozNym для устойчивости, расположены по адресу:

HKCU \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Каждое значение запуска указывает на уникальный двоичный файл GozNym, расположенный в папках% programdata% или% appdata%.Примеры значений прогона включают реологию-37 и изгиб-1. Эти имена жестко запрограммированы, выбираются из списка, который, кажется, создается вручную разработчиком и часто изменяется.

Кроме того, GozNym добавляет свой двоичный файл в папку автозагрузки Windows. Эти двоичные файлы отличаются как от исходного загрузчика GozNym, так и друг от друга. При этом все двоичные файлы GozNym выполняют одну и ту же задачу: запускать GozNym после перезагрузки системы — с одной уловкой. Перед полным запуском двоичные файлы проверяют, что машина, на которой они расположены, совпадает с машиной, зараженной исходным загрузчиком GozNym.Этот тест выполняется путем проверки сведений о конкретном значении реестра:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ MachineGuid

Дайвинг в ГозНым Код

Поскольку Nymaim использовал для внедрения финансового модуля Gozi в браузер жертвы, а GozNym внедряет свой собственный код, а также модифицированный финансовый модуль ISFB, давайте глубже рассмотрим различия между исходным финансовым модулем Gozi и модифицированной версией, которая была создана при использовании. гибридом ГозНым.

Основы

Финансовый модуль Гози (без упаковки)

Финансовый модуль ГозНима (без упаковки)

Размер

Около 140 КБ

Около 40 КБ

Импорт таблицы адресов (IAT)

Используется как обычно и легко распознается IDA.

Конструирует собственный частичный IAT.Использует некоторые API, предоставляемые вторым шеллкодом.

Струны

Существуют в дампе памяти, легко исследовать.

Скрыто с помощью кода GozNym.

Использование другого кода

Нет.

полагается на код GozNym для выделения памяти, процедур дешифрования, дешифрования строк и многого другого.

Структура памяти

Находится в памяти как простая библиотека DLL.

Находится в памяти как шелл-код.

Шифрование Webinject

Змеиный шифр и шифрование RSA.

Использует четыре фазы шифрования.

Развертывание Webinjection GozNym

Внутри процесса браузера сильно запутанный код GozNym действует как интерфейс для финансового модуля Gozi. Это значительно усложняет его исследование.Два примера использования этого интерфейса:

  • Вызов функций для выделения памяти в куче; и
  • Вызов функции для получения расшифрованной конфигурации веб-инжектов.

Скриншоты на рисунках ниже показывают финансовый модуль GozNym в разборке с помощью IDA Pro.

Обратите внимание, что вызов функции call_nymaim_decrypt_conf на самом деле является частью API и используется для получения расшифрованных веб-инъекций. Эта функция вызывает второй внедренный модуль через функцию gate_to_nym_API.


Рис. 1. Функция, вызываемая для запроса API для расшифрованных веб-инъекций GozNym.


Рис. 2. Вызов функции API, которая расшифровывает конфигурацию веб-инъекций GozNym.

На следующем рисунке мы можем просмотреть динамическое выполнение того же кода сразу после вызова gate_to_nym_API. Веб-инъекции уже расшифрованы, что видно в окне памяти слева.

Рисунок 3: Динамическое представление выполнения.

Многоуровневое шифрование конфигурации Webinjection от GozNym

Как и большинство классических финансовых вредоносных программ, основной метод работы GozNym заключается в изменении связи между веб-браузером пользователя и серверами банка, что позволяет ему изменять содержание веб-страниц, представляемых зараженным жертвам.Трояны также могут изменять команды, которые пользователь отправляет банку. Этот перехват и изменение становятся возможными благодаря исправлению внутренних функций браузера, что позволяет обойти защиту SSL.

Инструкции, необходимые для обработки данных веб-страницы, содержатся в так называемой конфигурации веб-инъекции. Эти данные обычно поступают отдельно, извлекаются самой вредоносной программой и хранятся в файловой системе Windows в зашифрованном виде.

В случае GozNym файл конфигурации хранится в папке% TEMP%, защищенной несколькими уровнями шифрования.Файл веб-инъекций GozNym требует четырех этапов расшифровки, чтобы выявить его цели и схемы атаки. Первая и третья фазы процедуры дешифрования используют один и тот же код, но разные ключи и зашифрованные данные. Процесс выглядит следующим образом:

  1. ГозНым расшифровывает небольшую часть конфигурации с помощью жестко закодированных ключей. Результатом является новый набор ключей, который будет использоваться на втором этапе.
  2. Используя ключи, полученные на первом этапе, вредоносная программа расшифровывает большую часть необработанной конфигурации, чтобы выявить следующий уровень шифрования, используя собственный шифр (см. Рисунок 4).
  3. Вредоносная программа расшифровывает результат второго этапа с помощью ключей, которые были скрыты в данных предыдущего уровня. Это показывает данные для следующего этапа процедуры дешифрования.
  4. Вредоносная программа выполняет расшифровку ISFB с использованием шифров RSA и Serpent, как подробно описано ниже.

В контексте четырехфазного шифрования GozNym последний уровень является наиболее интересной частью. После расшифровки первых трех уровней данные веб-инъекций зашифровываются с помощью шифра Serpent, ключ которого хранится внутри двоичной структуры, которую исходный автор ISFB назвал DS_Header (см. Рисунок 6).Он находится в конце зашифрованных данных веб-инъекций.

Поскольку DS_Header зашифрован криптой RSA, двоичный код вредоносной программы содержит жестко закодированный ключ RSA, который она использует для дешифрования DS_Header. Результатом является открытый текстовый ключ Serpent, который затем используется для расшифровки остальной части конфигурации веб-инъекции.


Рис. 4. Код расшифровки фазы II (просматривается с помощью IDA Hex-Rays).

После первых двух этапов данные содержат размер веб-инъекции и саму веб-инъекцию, все еще в зашифрованном виде, как показано на рисунке 5.


Рисунок 5: Размер конфигурации в нашем примере (0x0000107B, отмечен красным).


Рисунок 6: Структура данных Gozi DS_Header, взятая из утекшего исходного кода ISFB.

Устранение сложных угроз

По данным IBM X-Force, троянец GozNym демонстрирует рост вредоносной активности. В настоящее время он распространяет свои перенаправляющие атаки на крупные банки США, и ожидается, что в ближайшем будущем он продолжит внедрение обновлений и модификаций.

IBM Security может помочь банкам и целевым организациям узнать больше об этой угрозе высокого риска. Чтобы помочь остановить такие угрозы, как GozNym, банки и поставщики услуг могут использовать решения для адаптивного обнаружения вредоносных программ с аналитикой вредоносных программ, которые предоставляют информацию о методах и возможностях мошенников в режиме реального времени. Эти инструменты предназначены для решения проблем, связанных с неумолимой эволюцией ландшафта угроз.

Пользователи, которые хотят предотвратить заражение расширенными вредоносными программами, должны всегда следовать рекомендациям по обеспечению безопасности.Это включает в себя регулярное обновление часто используемых программ и соблюдение правил гигиены браузера, например, избегание подозрительных веб-сайтов. Поскольку GozNym и подобные банковские вредоносные программы обычно доставляются в виде вложений электронной почты, также важно никогда не переходить по ссылкам или вложениям в незапрошенных сообщениях электронной почты.

Образец MD5

  • MD5: 2A07E667CDB71884ECC1B480245

IBM X-Force Research будет обновлять информацию и индикаторы взлома GozNym через платформу X-Force Exchange.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *