基于LED顯示屏的隱蔽光傳輸通道*

胡 浩，羅儒俊，齊國雷，劉文斌，丁建鋒，宋 滔

（1.解放軍信息安全測評認(rèn)證中心，北京 100076；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

信息化時代，網(wǎng)絡(luò)攻擊手段層出不窮。為了防范網(wǎng)絡(luò)攻擊，物理隔離是較為常見的一種手段，即將目標(biāo)設(shè)備或網(wǎng)絡(luò)從公共或其他可訪問網(wǎng)絡(luò)中分離出來。盡管處于物理隔離狀態(tài)，通過供應(yīng)鏈滲透、社會工程學(xué)技巧、預(yù)置惡意軟件/硬件等方法，仍然可以實(shí)現(xiàn)對物理隔離計(jì)算機(jī)的木馬植入或病毒感染，并構(gòu)建出基于聲、光、電磁、熱等不同媒質(zhì)的隱蔽信息傳輸通道[1-2]。

基于電磁波的隱蔽傳輸通道可以通過讀寫計(jì)算機(jī)的CPU、顯卡、內(nèi)存等部件，通過數(shù)據(jù)總線產(chǎn)生電磁信號來建立，且低頻電磁信號容易沿?cái)?shù)據(jù)線、電力線以傳導(dǎo)形式傳輸，高頻電磁信號容易通過空中以輻射形式傳輸。基于聲波的隱蔽傳輸通道可以通過計(jì)算機(jī)內(nèi)置的揚(yáng)聲器、蜂鳴器產(chǎn)生人耳難以察覺的超聲波來實(shí)現(xiàn)，也可以通過控制計(jì)算機(jī)的散熱風(fēng)扇轉(zhuǎn)速變化來產(chǎn)生超聲波。

基于室內(nèi)LED照明燈可以實(shí)現(xiàn)可見光通信，進(jìn)而實(shí)現(xiàn)信息泄露，但需要預(yù)先植入硬件木馬，實(shí)施難度較大。針對計(jì)算機(jī)系統(tǒng)，可以利用惡意程序控制計(jì)算機(jī)自帶的發(fā)光模塊（LED顯示屏、鍵盤LED指示燈、屏幕LED指示燈、硬盤LED指示燈），構(gòu)建出基于可見光的隱蔽傳輸通道，從而實(shí)現(xiàn)信息的隱蔽傳輸。

本文首先概述國外隱蔽光傳輸通道的最新研究現(xiàn)狀，分析典型通道的隱蔽性，設(shè)計(jì)用于檢測LED器件閃爍的光傳感器，發(fā)現(xiàn)了LED顯示屏存在固定的閃爍頻率。閃爍頻率的幅度大小與LED顯示屏的亮度明暗具有相關(guān)性。通過軟件程序控制LED顯示屏的亮度等級，計(jì)算機(jī)內(nèi)的信息以幅度鍵控調(diào)制（ASK）方式向外發(fā)送光信號，在人眼難以察覺的情況下，建立基于LED顯示屏的隱蔽光傳輸通道，從而實(shí)現(xiàn)遠(yuǎn)距離接收還原泄露信息。

1 國外研究現(xiàn)狀

2002年，洛克希德(馬丁公司的Loughry和奧本大學(xué)的Umphress通過植入惡意軟件來控制鍵盤和顯示器的LED指示燈[3-4]閃爍來發(fā)送數(shù)據(jù)，并通過遠(yuǎn)程攝像頭接收還原了信息。

2013年，Brasspup通過預(yù)選移除顯示器的極化濾波器，利用特制的LED顯示屏[5]，實(shí)現(xiàn)了隱蔽光通道的信息傳輸。

2016年，坎皮納斯大學(xué)的Lopes和Arana通過使用惡意存儲設(shè)備控制紅外LED燈，獲取了物理隔離系統(tǒng)中的如個人信息、加密算法密鑰等敏感信息，數(shù)據(jù)傳輸速率可達(dá)15 bit/s，但是必須預(yù)先植入硬木馬（具備紅外LED燈的存儲設(shè)備[6]）。

2017年，本古里安大學(xué)Mordechai等人利用計(jì)算機(jī)的硬盤LED燈[7]實(shí)現(xiàn)隱蔽傳輸數(shù)據(jù)，通過對硬盤進(jìn)行讀寫操作，間接控制硬盤LED燈。LED燈亮的時間為“1”比特，暗的時間為“0”比特，使用光學(xué)傳感器進(jìn)行接收還原，在黑暗環(huán)境下最大傳輸距離可達(dá)20 m。

上述研究表明，建立隱蔽光傳輸通道主要有兩種方式：一是植入軟件木馬，通過軟件木馬控制計(jì)算機(jī)自身的發(fā)光模塊建立；二是植入硬件木馬，通過硬件木馬攜帶的發(fā)光模塊建立。由于硬件木馬植入難度較大，而利用設(shè)備自身的發(fā)光模塊通過軟件木馬植入方式實(shí)現(xiàn)隱蔽信息傳輸則更容易實(shí)現(xiàn)。在計(jì)算機(jī)自帶的發(fā)光模塊中，鍵盤LED指示燈、硬盤LED指示燈雖然隱蔽性較高，但是通過遮擋LED指示燈的方法可以輕易防范。因此，本文提出了一種基于LED顯示屏的新型隱蔽光傳輸通道。

2 LED燈閃爍檢測模塊設(shè)計(jì)

為檢測LED燈的閃爍，設(shè)計(jì)了基于光敏電阻的光傳感器，如圖1所示。

圖1 光傳感器電路

該電路由1個信號源、1個光敏電阻和1個普通電阻組成。信號源產(chǎn)生特定頻率的方波信號，用于調(diào)制LED燈閃爍頻率的載波信號。由于載波頻率必須高于LED燈的閃爍頻率，綜合考慮后選擇1 MHz。當(dāng)無LED燈照射光敏電阻時，其呈高阻狀態(tài)，阻值遠(yuǎn)遠(yuǎn)大于電阻R，在電阻R上獲得的電壓波形很小，可以近似于0；當(dāng)有LED等照射光敏電阻時，其阻抗迅速降低，接近0，在電阻R上獲得的電壓波形與信號源產(chǎn)生的波形相同。通過LED燈的不停閃爍，在電阻R上產(chǎn)生一個幅度調(diào)制信號，其載波信號為信號源產(chǎn)生的方波，調(diào)制在載波上的信號是由LED燈照射光敏電阻產(chǎn)生。該信號的頻率與LED燈閃爍頻率相同，由此可以檢測LED燈閃爍頻率和幅度變化。

3 LED顯示屏背光控制原理及測試

目前，大多數(shù)計(jì)算機(jī)配置的LED顯示屏為背光控制亮度，控制方式為PWM方式。PWM控制方式是通過控制逆變電路開關(guān)器件的通斷使輸出端產(chǎn)生一系列幅值相等的脈沖，用于代替正弦波或者所需波形。即在輸出波形的半個周期中產(chǎn)生多個脈沖，使各脈沖的等值電壓為正弦波波形，輸出平滑，且低次諧波少。按照一定規(guī)則對各脈沖的寬度進(jìn)行調(diào)制，即可改變逆變電路輸出電壓的大小。

總體而言，實(shí)現(xiàn)調(diào)節(jié)屏幕亮度不是通過改變信號頻率，而是通過調(diào)節(jié)脈沖信號的占空比。占空比越小，單位時間內(nèi)進(jìn)入人眼內(nèi)的光強(qiáng)越少，因此會感覺亮度較低；占空比越大，單位時間內(nèi)進(jìn)入人眼內(nèi)的光強(qiáng)越多，因此會感覺亮度較高，如圖2所示。

圖2 PWM調(diào)光方式

LED顯示屏測試方法：①將光傳感器模塊對準(zhǔn)LED背光顯示屏，打開光傳感器模塊開關(guān)，通過音頻線纜連接光傳感器模塊和上位機(jī)；②打開上位機(jī)中的信號采集軟件，顯示信號實(shí)時頻譜圖和瀑布圖；③通過頻譜圖獲取LED背光顯示屏的閃爍頻率。測試現(xiàn)場布置圖如圖3所示，測試頻譜圖如圖4所示。

圖3 LED背光顯示屏測試現(xiàn)場布置

圖4 LED顯示屏測試頻譜

從圖4可以看出，頻譜圖上出現(xiàn)多個頻點(diǎn)。其中，除零頻外，最低頻點(diǎn)為218 Hz，是LED背光的閃爍頻率；其他頻點(diǎn)為高次諧波。因此，通過光傳感器可獲取LED顯示屏的閃爍頻率。由于PWM方式是調(diào)節(jié)占空比，所以調(diào)節(jié)亮度變化并不會改變其閃爍頻率。

4 ASK調(diào)制解調(diào)實(shí)現(xiàn)方法

由于LED顯示屏存在固定的閃爍頻率，且在LED顯示屏亮度變化時，該閃爍頻率對應(yīng)的幅度也隨之變化。因此，可以采用ASK調(diào)制方式調(diào)制泄露信息。通過調(diào)節(jié)背光亮度使其頻譜圖上的幅度值發(fā)生變化。背光亮對應(yīng)幅值大表示比特“1”，背光暗對應(yīng)幅值小表示比特“0”。通過這種方式可以將二進(jìn)制碼調(diào)制到LED顯示屏閃爍頻率的幅度變化上。

但是，計(jì)算機(jī)的PWM控制接口權(quán)限未向用戶開放，無法直接利用程序控制背光亮度，可使用windows操作系統(tǒng)提供的亮度調(diào)節(jié)API接口，通過調(diào)用API(Application Programming Interface,應(yīng)用程序編程接口)接口函數(shù)GammaRamp()控制LED顯示屏的亮度等級，產(chǎn)生人眼難以察覺的亮度微弱變化，具有較高的隱蔽性。

ASK解調(diào)方式是將光傳感器輸出的電信號進(jìn)行傅里葉變換（FFT），根據(jù)LED顯示屏固定閃爍頻率的幅值大小來判斷邏輯值為比特“0”或“1”。

5 隱蔽光傳輸通道驗(yàn)證

基于LED顯示屏的隱蔽光傳輸通道驗(yàn)證的環(huán)境布置如圖5所示，具體參數(shù)設(shè)置如表1所示。

表1 LED背光顯示屏隱蔽光傳輸通道驗(yàn)證參數(shù)

如圖5所示，A為配置了LED顯示屏的目標(biāo)計(jì)算機(jī)（泄漏源）。泄漏程序搜索計(jì)算機(jī)A中的敏感文件進(jìn)行基于ASK數(shù)據(jù)調(diào)試，并轉(zhuǎn)化成二進(jìn)制比特，通過調(diào)用API接口控制屏幕亮度微弱變化傳輸數(shù)據(jù)。B為接收還原計(jì)算機(jī)，通過光傳感器C（距離目標(biāo)計(jì)算機(jī)A約1.5 m）將光信號轉(zhuǎn)換為電信號，并將該電信號通過音頻口傳輸至B中進(jìn)行解碼，恢復(fù)出泄露信息。

①為泄漏程序，運(yùn)行在計(jì)算機(jī)A中，用于讀取敏感文件信息并調(diào)用API接口產(chǎn)生泄漏。程序運(yùn)行時，A中不會出現(xiàn)任何界面，只有在計(jì)算機(jī)進(jìn)程管理器中可以查看到泄漏程序運(yùn)行。

②為被泄漏的測試文件，存儲在計(jì)算機(jī)A中。

③為分析軟件，運(yùn)行在計(jì)算機(jī)B中，從音頻口中讀取采集到的信號，在界面上實(shí)時呈現(xiàn)頻譜圖和瀑布圖。

④為還原軟件，運(yùn)行在計(jì)算機(jī)B中，從音頻口中讀取采集到的信號并進(jìn)行解碼，還原出泄露信息。

⑤為還原出的泄露信息，將還原出的信息以文件形式呈現(xiàn)。

圖5 基于LED背光顯示屏的隱蔽光傳輸通道驗(yàn)證

從圖5可以看出，接收端計(jì)算機(jī)B能夠成功接收并還原泄露信息。由于受到光傳感器的檢測靈敏度限制，本次驗(yàn)證中的傳輸距離只有1.5 m。如果采用高靈敏度的光傳感器，其傳輸距離和傳輸速率將大幅提高。本次驗(yàn)證可以說明，LED顯示屏可以被惡意軟件利用，成為從物理隔離計(jì)算機(jī)網(wǎng)絡(luò)中獲取信息的隱蔽渠道。

6 結(jié) 語

本文設(shè)計(jì)了基于LED燈閃爍頻率檢測的光傳感器，檢測發(fā)現(xiàn)了LED顯示屏存在的固定閃爍頻率，分析了LED顯示屏PWM控制原理，通過調(diào)用Windows系統(tǒng)的API接口函數(shù)實(shí)現(xiàn)程序化控制亮度，提出了在固定閃爍頻率上使用ASK調(diào)制計(jì)算機(jī)內(nèi)部信息進(jìn)行隱蔽傳輸?shù)姆椒?，最終成功驗(yàn)證了基于LED背光顯示屏的光信息泄露新渠道，為基于物理隔離網(wǎng)絡(luò)的信息安全測評提供了技術(shù)支撐。

面對新的隱蔽傳輸通道造成的物理隔離網(wǎng)絡(luò)安全威脅，檢測與防護(hù)任重道遠(yuǎn)。后續(xù)將繼續(xù)進(jìn)行新型威脅的分析和挖掘，通過再現(xiàn)威脅并研究其特征，有針對性地提出應(yīng)對措施，加快信息安全檢測與防護(hù)能力建設(shè)。