張 琪，劉文斌，丁建鋒，王 哲，廖翔宇，宋 滔

（中國電子科技網絡信息安全有限公司，四川 成都 610041）

0 引 言

防范網絡攻擊的一種較有效的措施是使被防護對象與網絡物理隔離，也就是將目標設備或網絡從公共或其他可訪問網絡中分離出來。然而，通過社會工程學、供應鏈滲透等手段，可以實現對物理隔離計算機的木馬植入或使其感染病毒，并且以聲、光、電磁、熱等不同形式建立用于信息傳輸的隱蔽通道[1]。

基于聲、光、電磁等形式建立的隱蔽通道已有相關研究，針對計算機系統，通過熱量建立的隱蔽熱通道隱蔽性更高，更不容易被發(fā)現。

由于計算機處理器、硬盤、內存、主板或者其他電子設備工作時有電流通過，或多或少會發(fā)出熱量傳遞到周圍環(huán)境中，這些熱量可能會被周邊事先設置的溫度傳感器或者熱量傳感器監(jiān)測而建立一個隱蔽熱學通道。

本文首先提出一個新的對抗模式，揭示物理隔離網絡可以在一個建立的隱蔽熱通道上實現通信接收；其次，展示了攻擊者怎樣通過受感染的空調系統（假設該空調系統已經連接到互聯網）將命令發(fā)送到物理隔離網絡中的被感染主機；最后，通過實驗驗證以熱建立的隱通道可行，并給出了應對這種類型的隱通道的措施。

1 研究背景

傳統的固有思維是如果敏感網絡與所有其他公共網絡（如因特網）之間沒有連接，那么敏感網絡不會有被遠程攻擊的安全問題。換句話說，人們認為如果沒有物理通道與隔離網絡通信，那么攻擊者不能突破該網絡。然而，這種策略并非萬無一失。攻擊者一直在開發(fā)橋接物理隔離網絡的方法，并且已經有了一些成功案例。一個突破物理隔離網絡進行攻擊的典型案例是針對“伊朗核計劃”[2]的計算機病毒“stuxnet”（“震網”）。作為世界上首個“超級破壞性武器”，“震網”病毒已經感染了全球超過45 000個網絡，60%的個人電腦感染了這種病毒?！罢鹁W”代碼非常精密，主要有兩個功能，一是使伊朗的離心機運行失控，二是掩蓋發(fā)生故障的情況“謊報軍情”，以“正常運轉”記錄回傳給管理部門，造成決策誤判。

2013年，兩個研究人員未經授權輕易進入了谷歌總部辦公樓的暖通空調系統[3]。這兩個研究人員不僅能夠通過被入侵的系統（Tridium Niagara AX平臺）對目標房間進行加熱和冷卻，還能夠進入用于橋接的局域網主機（在本地網絡上的計算機）。在這類系統中也看到了類似的漏洞，使攻擊者可以訪問建筑物的門鎖、供電、電梯和其他各種自動化系統[4]。另外，HVAC系統（供熱、通風和空調系統）中的空調另一個被入侵的可能是攻擊基于Wi-Fi控制的恒溫器[5]。這些類型的接口很容易受到Wi-Fi或其他社會學工程攻擊[6]。

上述研究表明，在某些情況下，一個不安全且公共連接的網絡與物理隔離網絡具有一些重疊的物理空間，這些網絡很容易被安全專家忽略，被入侵后可以用來攻擊附近的安全網絡。HVAC系統屬于這種不安全但是看似無辜的網絡，可以連接到可訪問網絡（如互聯網）。目前，很多大型建筑的暖通空調系統（HVAC）系統都通過網絡連接在一起，目的是設定每個房間的溫度和報告空調故障。

隨著物聯網的快速發(fā)展，像HVAC系統這類基礎設施不可避免需連接到公共訪問網絡，那么攻擊者可以輕易通過互聯網控制建筑物的HAVC系統，操縱環(huán)境溫度來建立HVAC系統和目標計算機所在隔離網絡的隱形通道，從而達到攻擊目標計算機或者其網絡的目的。

2 通過操縱環(huán)境溫度橋接物理隔離網絡的過程分析

2.1 攻擊場景分析

在分析攻擊場景前，先做一個合理的假設：目標組織（受攻擊對象）擁有一個包含以太網的環(huán)境，物理上與因特網和其他公共網絡斷開連接，同時與該目標組織網絡有一個平行的建筑環(huán)境控制系統（HVAC系統），其控制中心（管理單元）與互聯網連接，如圖1所示。

圖1 攻擊場景模型（在物理隔離網絡中被感染的主機接收攻擊者跨越物理隔離的命令）

攻擊者通過互聯網入侵一個HAVC系統，使用空調系統向受感染主機發(fā)送熱信號，被感染主機利用內部熱傳感器采集這些熱信號，那么一個面向物理隔離網絡受感染主機的單向隱蔽熱通信廣播通道就建立起來了。這種熱通信廣播信道可以用來讓目標組織中的計算機拒絕服務，以干擾日常工作。

這種攻擊的前提是事先在目標組織網絡中任意一臺主機上植入惡意軟件。有兩種方式可以實現這種植入：一是由目標組織內部人員向主機插入受感染的USB設備，由于主機連接在目標組織物理隔離的網絡上，這臺主機可以通過網絡進行擴散惡意軟件的行為；二是可以在主機購買時由供應廠商植入惡意軟件，也就是后門[7]。

通過攻擊者操縱被感染的目標計算機，攻擊者可以實現如表1所示的攻擊行為。

表1 攻擊行為表

2.2 根據攻擊場景建模

對于圖1對應的攻擊場景模型，按照如下方式執(zhí)行。

步驟①：攻擊者的命令發(fā)送到與互聯網連接的指控中心服務器。這是為了將攻擊者與攻擊行為隔離，從而為攻擊者提供更好的隱蔽和偽裝。

步驟②和步驟③：指控中心服務器通過互聯網接口將命令轉發(fā)到HAVC系統的中央空調管理單元。

步驟④和步驟⑤：HVAC系統發(fā)送命令，根據預先設定的協議，改變目標計算機周圍的熱學環(huán)境。

這里，攻擊者利用事先植入的惡意客戶端程序，就可以解析出來自空調的熱信號。惡意客戶端程序執(zhí)行過程中，惡意客戶端程序控制硬件熱傳感器（CPU、內存、硬盤、主板上的溫度傳感器）為自己的意圖服務，對周圍溫度進行感知，從熱信號中解析出命令，然后根據表1執(zhí)行攻擊任務。這樣攻擊者就擁有一條從攻擊者到受惡意客戶端感染主機的單向熱通信廣播通道[8]。

由于感染了惡意軟件客戶端的計算機連接到物理隔離的網絡，惡意軟件可以通過該網絡自動傳播。同時，受感染計算機可以通過惡意軟件客戶端保持特征不明顯的通信，而未受感染的計算機不受溫度變化影響，大大增加了攻擊者攻擊目標計算機成功的概率。

2.3 抽象熱通信信道分析

本質上，通信是跨越一段距離來傳播信號的行為。2.2節(jié)提到空調通過指控中心發(fā)送熱信號到計算機的熱傳感器，那么從攻擊者到目標計算機的熱通信信道就被建立起來了。

傳統的對電壓二進制編碼和光電轉換的線路編碼，由于速度快，并不適用于熱通道的通信編碼。因為在開放空間中，冷熱轉換時間較長。因此，需要對熱通信信道提出一個新的線路編碼方式——隱蔽熱學線性編碼。盡管這種編碼方式傳輸速率很慢，但是對于攻擊者發(fā)出攻擊命令已經足夠。

熱通信信道傳輸信號保密性比傳輸能力更重要，因此對其進行編碼要盡量速率低、簡單。假設環(huán)境中每一個區(qū)域的溫度不可能相同且溫度的變化速率也不相同。這種假設是成立的，因為目標計算機們的熱傳感器距離熱源位置不同，接收到的熱信號也會不同。這種編碼方式類似于歸零碼（RZ），根據非線性時不變理論，除非有連續(xù)的1或0，否則信號保持不變。

根據上述編碼原則，對發(fā)送端按照表2進行編碼，對接收端按照表3進行譯碼。

表2 發(fā)送端編碼原則

表3 接收端譯碼原則

為了進一步量化分析熱通信信道通信行為，可以假設如下：假設發(fā)射端（空調）是A，接收端（受感染計算機的傳感器）是B，T是時隙長度，也就是單個比特的傳輸時間，H為最大傳輸編碼（單位℃），L為最小傳輸編碼（單位℃），D=|H-L|，γ是受感染計算機熱傳感器的分辨率。M(A,B)是空調A到傳感器B的距離函數（溫度和距離的關系）。

在攻擊啟動時，A的取值應該是攻擊時的室溫H和L，H和L是目標值而不是最大值。由于編碼是基于觀察環(huán)境中各位置的溫度決定的，解碼通過目前接收到比特與先前接收的比特進行比較得到。因此，發(fā)射端只需要關注是否需要接近目標溫度，而接收端需要關注溫度如果沒有變化時發(fā)射端是否達到目標溫度。

2.4 隱蔽熱通信信道中傳輸協議分析

熱通信信道的線路編碼規(guī)則后，編碼的信號需要按照一定的傳輸協議來通信。攻擊者設定的傳輸協議應當使傳輸信號時間最小化，以避免被檢測到。為了避免接收端溫度傳感器檢測到的室溫出現頻繁變化，協議中的幀格式應當謹慎設定。

傳輸協議是一種基于幀的消息廣播，幀結構如圖2所示。

圖2 隱蔽熱通道通信傳輸協議幀格式

幀開始時發(fā)送前導碼，用于同步；在同步信號后，假設對溫度變換趨勢進行解碼，在3 bitsop碼發(fā)送后，是一個可以選擇的奇偶校驗碼，緊接著是n bits的有效載荷。op碼其實是操作碼，操作碼對應按照表1進行攻擊操作。操作碼可以包括刪除攻擊留下來的證據、搜索和銷毀關鍵字對應的文件等攻擊行為。有效載荷的長度n bits取決于操作碼對應的行為，可以是自毀命令1 bits，也可以是更改進入受感染計算機的身份驗證密鑰，此時有效載荷可能是很多比特。

為了有效降低廣播通信攻擊的失誤率，攻擊者可以這樣設計協議：在特定的時間準確發(fā)送和接收幀，那么在這個時間之前，攻擊者可以讓空調先加熱自身部件，然后再對房間加熱，最后再冷卻房間。

3 實驗驗證

實驗驗證包括兩個驗證，一是對線路編碼性能的驗證，二是對設計的熱通信協議的驗證。在實驗中選取如表4所示配置的計算機作為受攻擊對象。

3.1 線路編碼性能的驗證

評估線路編碼性能，可以根據被感染計算中惡意客戶端讀取的CPU熱傳感器數據響應發(fā)送端的命令來評估（實驗一），然后通過實驗驗證計算機的隨機使用對主板上的熱傳感器的數據采集沒有影響（實驗二），用來排除計算機自身由于隨機工作造成的熱傳感器溫度上升的影響。

表4 用于實驗的計算機配置

3.1.1 實驗一

實驗中計算機采樣分辨率γ為1 ℃，計算機機箱封閉，驗證空調在離計算機3 m遠將房間加熱90 s后關閉，CPU熱傳感器讀取的采樣數據的變化，如圖3所示。

圖3 CPU采集的溫度數據與時間的關系

圖3 中，曲線2代表攻擊者發(fā)出的信號脈沖，可以理解發(fā)送端（空調）發(fā)送編碼為10，指示空調管理單元控制空調提高室溫；曲線1表示受感染計算機CPU接收到發(fā)送端（空調）的編碼信號的采樣響應曲線。因此可以得出結論，對于發(fā)送端讓空調溫度提高的編碼，接收端響應了命令，而發(fā)送端和接收端是物理隔離的，驗證了在物理隔離網絡中，可以通過建立隱蔽的熱通信信道，采用合適的編碼原則進行通信。

3.1.2 實驗二

這里先設置一個實驗，讀取計算機主板上的熱傳感器溫度。首先，隨機使用接收熱信號的計算機，同時讀取來自空調的環(huán)境熱信號；其次，計算機只是讀取來自空調的環(huán)境熱信號。實驗結果如圖4所示。

圖4 接收計算機的隨機使用對熱傳感器的影響

從圖4的曲線1可以看出，計算機的隨機使用對計算機主板上的熱傳感器影響不顯著，表明通過熱通道傳輸的熱信號幾乎不會受到計算機自身運算造成組件發(fā)熱的干擾，因此排除計算機自身由于隨機工作造成的熱傳感器溫度上升的影響，證明了對熱通信通道的命令進行編碼是可行的。

3.2 對設計的熱通信協議性能的驗證

為了測試該協議性能，生成了一個幀。攻擊者可以在同一個HVAC系統下向所有接收計算機進行廣播。該幀包含一個操作碼（用于改變內部通信的密鑰）和有效載荷（新的128位密鑰）。換句話說，假設受感染主機之間可以相互通信，所有接收該命令的受感染主機將相應更新其內部通道加密密鑰。

實驗發(fā)現，位于主板上的熱傳感器對環(huán)境溫度變化響應比CPU的熱傳感器快。這是合理的，因為CPU擁有冷卻單元（風扇和散熱器），主板上的熱傳感器無冷卻單元。因此，使用主板上的傳感器來測試熱通信協議。

先進行實驗設置，如表5所示。根據表5中實驗設置，接收計算機的主板傳感器測得如表6所示的結果數字。信道的比特率是熱通信通道的傳輸速率，取決于環(huán)境的設置，如空調和接收計算機的距離。

表5 用于測試協議的參數

表6 空調對主板傳感器的影響

由表5空調的設置溫度和表6主板傳感器的實際溫度可以看出，由于機箱封閉，機箱不能及時散熱，機箱中主板傳感器的溫度高于空調溫度。

HVAC系統發(fā)送的128 bits的有效載荷，加上2 bits的前導碼、3 bits的操作碼和1bit的奇偶效驗碼，該幀長度為134 bits。在傳輸速率為40 b/h下，計算得出134 bits的幀需要約3.5 h發(fā)送完。接收計算機的熱傳感器將廣播信號解調成幀，解調出的幀對應的比特碼如表7所示。根據圖2幀結構約定，前導碼為2 bits、操作碼3 bits、奇偶效驗碼1 bit。根據采集的溫度解碼出有效載荷為11100110011100010………（僅顯示部分幀）。

表7 解調出的幀對應的比特碼

因此，40 b/h的速率足夠讓攻擊者在一晚上激活表1羅列的攻擊任務。

通過上面的實驗可以證明，實驗中設計的熱通信協議和線路編碼是成功的，也證明了在物理隔離網絡通過溫度建立的隱蔽通信信道是合理的。

4 應對措施

針對利用操縱環(huán)境溫度為物理隔離網絡建立隱通道進行攻擊的威脅，可以有三種方法來應對。

第一種，HVAC系統與互聯網徹底斷開。這是基于提高HVAC系統的安全性來應對這類威脅，因為HVAC與受保護的物理隔離網絡可以通過熱量建立隱通道進行通信，HAVC系統與互聯網一旦連接，那么受保護的物理隔離網絡間接也會與互聯網交疊，攻擊者就可以通過互聯網間接對物理隔離網絡進行攻擊。因此，確保物理隔離網絡安全的最好方式，是把所有與其有交疊的網絡進行物理隔離，完全斷開HVAC系統到互聯網的鏈接。

第二種，監(jiān)控受保護物理隔離網絡的熱學環(huán)境。在不能將HVAC系統和互聯網斷開的情況下，可以采用監(jiān)測物理隔離網絡的熱學環(huán)境來監(jiān)控基于熱的隱蔽通道，可以通過在房間放置熱傳感器記錄或者監(jiān)控溫度波動來實現。設定一個溫度區(qū)間范圍，房間溫度的持續(xù)上升和下降表明可能存在一個隱蔽的熱通道。但是，這種監(jiān)控方法需要增加額外開銷，需要相應協議和機器學習算法用來監(jiān)控溫度異常情況。

第三種，對受感染的計算機上的惡意軟件進行特征識別。為了使受感染的計算機在熱通道上監(jiān)測和接收信息，惡意軟件必須持續(xù)對可用的熱傳感器進行采樣。因此，可以通過對惡意軟件的代碼進行靜態(tài)和動態(tài)分析來檢測這類采樣行為，采樣行為可以通過操作系統中熱傳感器對應的軟件接口高頻率訪問來判斷其特征，一旦發(fā)現該特征出現，就會找到采樣行為的代碼，從而發(fā)現隱蔽熱通道。

5 結 語

物理隔離是一種常見的網絡隔離方法，但容易受到并行的不安全網絡的攻擊。本文首先展示了一種新的對抗攻擊模型，攻擊者在一個隔離網絡中向受感染的主機廣播命令，然后提出了一個攻擊者可以使用該模型時的合理場景。此外，使用一種新的熱學線路編碼和相應的通信協議，驗證了從空調向計算機發(fā)送信令的可行性。因此，網絡工程師和安全專家在設計物理隔離網絡時要考慮這種攻擊的潛在性。下一步，將考慮房間人員因素，因為人員可能會導致計算機的溫度信號質量發(fā)生變化，也使得基于熱量建立的隱蔽通道更容易被檢測到。