android-sigma-rules/rules
GitHub: android-sigma-rules/rules
首个面向 Android 移动安全的开放 SIGMA 检测规则集,支持本地或 SIEM 环境中对恶意应用和设备配置进行标准化检测。
Stars: 0 | Forks: 0
# Android SIGMA 规则
首个用于 Android 移动安全的开放 SIGMA 兼容检测规则集。
## 这是什么?
用于检测 Android 设备上威胁的 SIGMA 规则 —— 跟踪软件、银行木马、RAT、商业间谍软件以及设备配置不当。规则由 [AndroDR](https://github.com/yasirhamza/AndroDR) 在设备本地进行评估,也可转换为 SIEM 使用。
## 规则格式
标准 SIGMA YAML,使用 `product: androdr`:
```
title: Sideloaded app with system-impersonating name
id: androdr-016
status: production
logsource:
product: androdr
service: app_scanner
detection:
selection_untrusted:
is_system_app: false
from_trusted_store: false
selection_name:
app_name|contains:
- System
- Google
condition: selection_untrusted and selection_name
level: high
remediation:
- "Uninstall unless you specifically installed it."
```
## 服务
| 服务 | 扫描内容 |
|---------|--------------|
| `app_scanner` | 已安装应用的元数据(包名、权限、证书) |
| `device_auditor` | 设备安全姿态(ADB、Bootloader、补丁级别) |
| `dns_monitor` | 本地 VPN 拦截的 DNS 查询 |
## 字段词汇表
### service: app_scanner
| 字段 | 类型 | 描述 |
|-------|------|-------------|
| `package_name` | String | Android 包名 |
| `app_name` | String | 显示名称 |
| `cert_hash` | String | 签名证书的 SHA-256 |
| `is_system_app` | Boolean | 已设置 FLAG_SYSTEM |
| `from_trusted_store` | Boolean | Play Store / Galaxy Store |
| `installer` | String | 安装程序包名 |
| `is_sideloaded` | Boolean | 不可信来源 |
| `permissions` | List | 危险权限 |
| `surveillance_permission_count` | Int | 监控权限数量 |
| `has_accessibility_service` | Boolean | 声明了 AccessibilityService |
| `has_device_admin` | Boolean | 声明了 DeviceAdminReceiver |
### service: device_auditor
| 字段 | 类型 | 描述 |
|-------|------|-------------|
| `check_id` | String | 检查标识符 |
| `adb_enabled` | Boolean | USB 调试已开启 |
| `screen_lock_enabled` | Boolean | 已配置锁屏 |
| `patch_age_days` | Int | 距补丁发布的天数 |
| `bootloader_unlocked` | Boolean | Bootloader 已解锁 |
### service: dns_monitor
| 字段 | 类型 | 描述 |
|-------|------|-------------|
| `domain` | String | 查询的域名 |
| `is_blocked` | Boolean | 被 IOC 列表拦截 |
## 贡献
1. Fork 本仓库
2. 将规则 YAML 添加到相应的 `service/` 目录中
3. 遵循命名约定:`androdr_NNN_short_description.yml`
4. 标记 MITRE ATT&CK 技术
5. 提交 PR
## 许可证
CC-BY-4.0
标签:AndroDR, Android安全, DNS监控, SIGMA规则, YAML, 侧载应用检测, 威胁情报, 子域枚举, 安全工程化, 安全库, 开发者工具, 开源规则, 权限滥用检测, 监控软件检测, 移动威胁检测, 移动端SIEM, 移动防御, 端点检测, 设备安全审计, 远程控制木马, 银行木马, 间谍软件