基于隱蔽聲通道的物理隔離計算機信息泄漏研究*

齊國雷，寇云峰，胡 浩，劉文斌，程 磊，丁建鋒

0 引 言

防范網絡攻擊的一種較為有效的措施是物理隔離，即將目標設備或網絡從公共或其他可訪問網絡中分離出來。然而，通過社會工程學、供應鏈滲透等手段，可以實現對物理隔離計算機的木馬植入或病毒感染，并構建出聲、光、電磁、熱等不同形式的信息傳播隱蔽通道[1-2]。

隱蔽光通道可以通過人眼無法識別的光頻段（如紅外頻段）來建立，也可以通過諸如肉眼難以覺察的高速閃爍頻率（如LED燈閃爍）來實現。隱蔽電磁通道可以通過利用對接口、線路的規律操作產生的電磁泄漏發射來建立。低頻電磁信號容易沿數據線、電力線以傳導形式傳播，高頻電磁信號則容易以輻射形式通過空間傳播。處理器或設備工作時的發熱，能夠被周邊的熱傳感器監測，從而構建出隱蔽熱學通道。

針對計算機系統，還有一種實現簡單、通用性強、可靠性高的隱蔽通道構建手段——隱蔽聲通道。點陣式打印機擊打打印紙、3D打印都可以直接泄漏信息，而通過控制風扇轉動，設備振動也可以泄漏信息。此外，還可以利用設備自帶的發聲模塊（如揚聲器、蜂鳴器），在超過人耳收聽的極限聲學頻率工作，或是產生人耳無法識別的聲學特征變化，隱蔽地傳遞信息。

通過與傳統網絡滲透手段的結合，可以產生新形式的聲、光、電磁、熱等隱蔽傳輸通道和更大的安全威脅。本文概述國內外隱蔽聲通道的最新研究情況，分析典型通道的隱蔽性，驗證了典型的基于揚聲器的隱蔽通道構建，提出并實現了基于蜂鳴器的隱蔽通道構建，最后探討了隱蔽聲通道檢測與防護措施。

圖1 本古里安大學聲信息泄漏演示場景

1 隱蔽聲通道相關研究

2014年，北卡羅拉納州立大學Luke Deshotels提出，利用麥克風和手機振動實現手機內部信息的惡意泄漏[3]。惡意軟件控制手機麥克風，泄漏發聲頻率工作在成年人聽不到的17 kHz以上的聲信號頻段，發送18 kHz聲信號表示傳輸比特0，發送19 kHz聲信號表示傳輸比特1。測試結果發現，最遠泄漏距離達25 m，即使手機放在口袋中，泄漏距離也能達到5 m。

2016年，以色列本古里安大學Mordechai Guri等人開發了利用計算機風扇轉動聲泄漏來傳遞信息的Fansmitter演示[4]和利用硬盤讀寫聲泄漏來傳遞信息的DiskFiltration演示[5]。Fansmitter程序可以控制計算機的風扇轉速，讓風扇以兩種不同的轉速工作，分別表示“1”和“0”比特，然后使用具備錄音功能的設備如智能手機進行接收。它的演示場景，如圖1（a）所示。1臺受攻擊電腦通過風扇噪聲向旁邊的智能手機發送敏感信息，有效通信距離為1～4 m，傳輸速率可到15 bit/min。DiskFiltration程序利用硬盤讀寫時操作機械臂發出的噪音來傳送信息，程序控制硬盤讀寫臂執行查找操作和讀操作時發出噪聲表示為比特“1”，硬盤空閑時背景噪聲表示比特“0”。它的演示場景如圖1（b）所示。1臺受攻擊電腦通過硬盤噪聲向外部發送敏感信息，旁邊的智能手機和智能手表都能捕捉泄漏的聲信號，泄漏距離可達2 m，傳輸速率可達180 bit/min。

2016年，中國科學院信息工程研究所丁雪潔等研究人員，驗證了基于15～20 kHz聲信道的隱蔽信息傳輸關鍵技術[4]，實現了計算機之間以及計算機到手機的隱蔽信息發送演示。

上述研究表明，構造隱蔽聲通道有兩種主要方式。一是構造人耳聽不到的高頻聲信號，二是構造淹沒在噪聲中但能被算法提取的聲信號。本文重點圍繞高頻聲信號進行隱蔽通道的分析與驗證。

2 聲通道隱蔽性分析與驗證

基于高頻聲信號構造隱蔽聲通道，涉及三個方面的要求。一是有能夠產生高頻聲信號的聲源；二是人耳聽不到；三是接收設備能夠檢測到信號并進行分析和還原。下面分別從這三個方面進行測試驗證。

可選的聲源包括筆記本電腦、智能手機以及信號源（連接音箱）3種，具體型號配置如表1所示，且發送信號設置為正弦波。測試發現，3種聲源發送的最大信號頻率均能達到20 kHz。

考慮到年齡和個體差異，人對聲音的感知頻率極限值也會有差異。不同文獻中對該臨界頻率的描述有一定差異[3,6]。為了對該參數有更清晰的認知，本文進行了實測驗證。具體地，分別選擇表1中的第2、第3種測試方法，測試結果如表2所示。

表1 聲源測試

表2 人耳高頻聲信號測試

可以看出，成人聽力臨界頻率在17 kHz以下，隨著年齡的增大，能夠聽到的最高信號頻率呈下降趨勢。

如表3所示，選擇普通便攜式設備作為接收設備，這些設備配有帶麥克風傳感器。在Windows系統環境下，可以使用通用軟件（如SDR#）對聲信號進行分析。在智能手機上，可以使用FrequenSee軟件對聲信號進行分析，如圖2所示。其中，橫坐標表示接收聲學信號的相對強度，單位dB；縱坐標表示接收聲學信號的頻率范圍，單位Hz。通過表1所列出的聲源，可以測出表3設備能夠檢測到的聲學頻率范圍。

圖2 手機麥克風輸入監測軟件FrequenSee

表3 普通設備內置麥克風最高接收頻率

3 揚聲器隱蔽聲通道驗證

揚聲器隱蔽聲通道驗證設置參數，如表4所示。在目標計算機（泄漏源）中運行一段特殊程序，讀取敏感信息后，基于FSK進行數據調制。

有兩種方式實現數據的發送：

（1）基于音頻文件的播放實現。把調制后的數據流生成WAV音頻文件，調用計算機的API接口函數PlaySound()播放該文件。

（2）基于數據流實現。把調制后的數據調用計算機API接口函數waveOutWrite()，向聲卡緩存寫入該段數據流。

表4 揚聲器隱蔽聲通道驗證參數

如圖3所示，A模擬泄漏發射便攜式計算機。泄漏程序搜索計算機A中的敏感文件，并將其轉化成二進制比特，然后生成音頻流數據并調用API接口，通過揚聲器發出。B模擬接收還原便攜計算機，用于接收語音信號，并對接收到的語音信號進行解碼，恢復還原出泄漏信息。

①為泄漏程序，運行在計算機A中，讀取敏感文件信息，并調用API接口進行泄漏。

②為被泄漏的文件，存儲在計算中A中。

③為分析軟件，運行在計算機B中，從聲卡中讀取采集到的信號，在界面上能夠進行時頻呈現。

④為還原軟件，運行在計算機B中，從聲卡中讀取采集到的信號并進行解碼，還原出泄漏的信息。

⑤為還原的泄漏信息，將還原出的信息以文件形式進行呈現。

4 蜂鳴器隱蔽聲通道設計與驗證

某些物理隔離的計算機揚聲器已經被拆除，但是主板的蜂鳴器一般會保留，用于設備自檢提示。利用設備的蜂鳴器也可以構建隱蔽聲信道，使用軟件控制同樣也可以實現信息的隱蔽傳輸。

調用Windows系統的Beep()接口函數，直接輸入頻率參數，可以產生相應頻率的聲信號。其他方法與基于揚聲器的隱蔽聲通道構建方式相同，可以實現信息的泄漏與還原。表5為不同計算機的蜂鳴器通道測試結果。

圖3 基于揚聲器的隱蔽聲通道驗證

表5 不同計算機的蜂鳴器通道測試

測試還發現，對具有獨立蜂鳴器的計算機設備，該方法簡單有效；對沒有蜂鳴器的計算機設備，該接口函數實際是調用其揚聲器發聲。因此，惡意程序有可能通過這兩種隱蔽通道構建方式的結合，實現更全面的威脅能力。

5 應對措施

5.1 抑源、隔離與干擾

傳統的聲隔離與干擾方法對隱蔽的聲泄漏防護依然有效，如緩解設備振動、降低泄漏信號強度；使用吸音或隔音材料進行抑源，縮短傳播距離；在具有潛在威脅的接收位置周邊發送干擾信號，使潛在的泄漏信號無法被接收還原。但需要注意，面對新型的隱蔽聲通道威脅，需要擴展防護的頻率范圍。

5.2 內部監測與區域監測

內部監測是在計算機內部配備聲監測傳感器和監測軟件，在檢測到異常信號時，能夠及時進行預警，因此又稱為共生監測。內部監測的特點是體積小、與設備一體化設計且針對性強。

區域監測則是應用于某個特定區域，如辦公室、會議室等。它可以是獨立裝置，也可以與其他聲學設備一體化設計。通過持續監測，當目標區域內出現異常傳輸信號時，不僅能夠記錄信號，而且可以進行預警。

現有的聲學分析設備主要用于環境噪聲監測或是生產線上的產品質量檢測，缺乏對信息泄漏的分析能力，因此亟需拓展現場聲信息泄漏監測與檢測的能力。

5.3 特征代碼檢測

本文重點分析隱蔽聲通道的建立，是通過向特定接口發送有調制特征的數據來實現的。基于這一特性，可在計算機中運行監控程序。一是查看是否有程序在頻繁調用蜂鳴器、揚聲器，如發現有頻繁調用，可禁止該進程的運行來達到保護信息安全的目的；二是把代碼特征加入到木馬/病毒庫，對程序代碼、可執行文件等進行特征檢測和預警。

5.4 智能識別

不論是信號監測與代碼檢測，還是設備工作狀態、行為特征的分析，關鍵是進行智能識別。通過使用機器學習算法，對目標場景或者目標設備的正常狀態與環境進行大樣本采集與訓練，建立聲紋特征庫，以提高異常設備、異常信號、異常行為、異常信息的判別準確率。

6 結 語

本文研究并分析了計算機可能存在的聲信道隱蔽通道，重點驗證了基于揚聲器的高隱蔽聲信息泄漏，提出并測試了蜂鳴器等新的泄漏渠道。面對新的隱蔽通道造成的物理隔離網絡泄漏威脅，檢測與防護任重道遠。后續需要持續挖掘漏洞，通過再現威脅并研究其特征，從而有針對性地提出其應對措施，加快檢測與防護能力的建設。

[1] 劉文斌,丁建鋒,寇云峰等.軟件定義電磁泄漏技術與應用分析[J].通信技術,2017,50(09):2094-2099.LIU Wen-bin,DING Jian-feng,KOU Yun-feng,et al.Software-defined Electromagnetic Leakage Technology and Its Application[J].Communications Tech nology,2017,50(09):2094-2099.

[2] 丁建鋒,劉文斌,廖翔宇等.基于電子設備電磁敏感特性的信息注入模型與驗證[J].通信技術,2017,50(11):2589-2593.DING Jian-feng,LIU Wen-bin,LIAO Xiang-yu,et al.Verification of Information-Injection Model based on Electromagnetic Susceptibility Characteristic of Electronic Equipment[J].Communications Technolo gy,2017,50(11):2589-2593.

[3] Luke D.Inaudible Sound as a Covert Channel in Mobile Devices[C].8th USENIX Workshop on Offensive Technologies,2014.

[4] Mordechai G,Yosef S,Andrey D,et al.Fansmitter:Acoustic Data Exfiltration from (Speakerless) Air-Gapped Computers. [EB/OL].(2016-06-30)(2017-09-29).https://arxiv.org/ftp/arxiv/papers/1606/1606.05915.pdf.

[5] Mordechai G,Yosef S,Andrey D,et al.DiskFiltration:Data Exfiltration from Speakerless Air-Gapped Computers via Covert Hard Drive Noise[EB/OL].(2016-08-30)(2017-09-29).https://arxiv.org/ftp/arxiv/papers/1608/1608.03431.pdf

[6] 丁雪潔,李彬,韋迪等.基于聲信道的隱蔽信息傳輸關鍵技術[J].信息安全研究,2016,2(02):131-136.DING Xue-jie,LI Bin,WEI Di,et al.The Transmission Technology of Covert Information Based on Acoustic Channel[J].Information Security Research,2016,2(02):131-136.