lexs201992-gif/Yara-investigation-rules-
GitHub: lexs201992-gif/Yara-investigation-rules-
专注于 Unisoc T606/T616 生态的供应链安全 YARA 检测规则集,帮助防御团队通过固件和系统镜像扫描识别 overlay 滥用与厂商分区异常等潜在入侵指标。
Stars: 0 | Forks: 0
# Unisoc T606/T616 供应链检测套件
## 用于防御性验证和事件响应的技术发布
**发布日期:** 2026年7月10日
**作者:** lexs201992-gif (独立安全研究, LATAM 分部)
**版本:** 1.0.0
**严重性分类:** 严重 (防御语境)
**TLP:** WHITE (公开分发)
## 1. 目的与范围
本仓库提供了一个防御性的 **YARA 检测套件**,旨在支持:
- 事件响应分诊
- 固件和系统镜像分析
- 企业/移动设备群风险评估
- 针对疑似供应链滥用的跨团队情报共享
当前的研究重点是针对选定的 **Unisoc T606/T616** 设备生态系统和厂商 overlay 滥用模式的潜在入侵指标。
## 2. 运营背景 (防御性框架)
这些规则旨在识别可能与以下情况相符的可疑工件:
- Runtime Resource Overlay (RRO) 滥用
- Vendor 分区持久化机制
- 安全策略降级/绕过尝试
- 隐蔽通信工件 (包括类似 WireGuard/MACsec 的痕迹)
调查结果应结合以下内容进行综合解读:
1. 固件来源验证
2. 证书链分析
3. 设备遥测和网络证据
4. 可重复的取证工作流
## 3. 规则集摘要
### 3.1 `SupplyChain_Overlay_Abuse_Unisoc` (附录 #81)
**目标:** 检测可疑的 Android overlay 滥用行为。
**主要指标:**
- `android.unisoc.*` 命名空间模式
- `/vendor/overlay` 及相关 overlay 路径
- 构建异常 (例如:自动生成的 overlay + 类似注入的工件)
**建议用途:** 持久化和重置后的工件验证。
### 3.2 `Unisoc_Vendor_Overlay_Backdoor_Fleet` (附录 #82)
**目标:** 识别与可疑参考设计相关的硬编码厂商/设备指标。
**主要指标:**
- `cpu_T606`
- 板子代号 `qogirl6`
- 引用 `CN=Longcheer` 的证书异常
**建议用途:** 高置信度的企业群组分诊和上报。
### 3.3 `Unisoc_T606_Supply_Chain_Master` (最终评估)
**目标:** 关联多层指标以用于事件确认工作流。
**主要指标:**
- 可疑的包/哈希情报 (如果有)
- 数据外发工件字符串 (`wireguard`, `macsec`)
- 硬件标识符 (`ums9230`, `ums9130`)
**建议用途:** IR (事件响应) 确认支持和结构化报告。
## 4. 实施指南
### 4.1 事件响应 / 取证团队
对固件转储、提取的分区和已知良好的基线使用 YARA 扫描:
```
yara -r unisoc_supply_chain_rules.yar /path/to/firmware_dump/
```
**解读模型**
- **正面匹配:** 视为**潜在入侵指标**,隔离资产,保留证据,上报以进行完整的取证审查。
- **无匹配:** **不代表绝对安全**;继续进行行为和网络分析。
### 4.2 企业 / 政府 (MDM, EDR, SOC)
1. 至少扫描:`/vendor/overlay`, `/product/overlay`, `/system`
2. 将匹配结果与设备型号、构建指纹和签名证书链进行关联
3. 隔离高置信度检测结果,等待取证验证
4. 维持针对 vendor 分区漂移的纵向完整性检查
### 4.3 网络防御 (Suricata/Zeek/NDR)
通过遥测搜寻来补充基于文件的检测,以查找:
- 非典型目标/端口上的类似 QUIC/WireGuard 的流量
- 受影响设备组的类似 Beacon 的定时通信
- 与可疑设备相关的 DNS/TLS 异常
## 5. 证据处理与质量控制
为了提高置信度并减少误报:
- 针对每个型号/构建的干净基线镜像进行验证
- 记录所有已分析工件的完整哈希来源 (SHA-256)
- 保留监管元数据 (获取时间、来源、工具版本)
- 在正式上报前要求多信号确认
- 在厂商 OTA 更新和策略更改后重新测试检测
## 6. 公共仓库与相关工作
- **YARA 调查规则 (本仓库):**
https://github.com/lexs201992-gif/Yara-investigation-rules-
- **技术研究仓库:**
https://github.com/lexs201992-gif/motorola-g04s-t606-spreadtrum
- **公民保护指南 (公众意识和缓解措施):**
https://github.com/lexs201992-gif/Citizen-Protection-Guide-Mitigating-the-Unisoc-Longcheer-Threat
## 7. 法律与分析免责声明
- 本仓库提供用于**防御性安全运营**和研究协作。
- 检测命中表明存在**可疑情况**,不代表自动进行法律归因。
- 除非由主管机构独立验证,否则对攻击者、厂商或行动的任何引用均应视为**分析假设**。
- 用户有责任遵守适用的法律、披露制度和内部政策。
## 8. 协作与负责任披露
欢迎就以下方面做出贡献:
- 变种样本和新的 IOC
- 误报/漏报报告
- 额外的遥测关联规则
- 区域威胁情报背景
### 联系方式与个人主页
- **ORCID:** https://orcid.org/0009-0009-4336-1491
- **AttackerKB:** https://attackerkb.com/contributors/lexs201992-gif
- **LinkedIn:** https://www.linkedin.com/in/alexdelacruz92?trk=contact-info
- **VirusTotal:** https://www.virustotal.com/gui/user/Alex992
- **Email:** lexs201992@gmail.com
- **PGP:** 应要求提供,用于加密通信
## 9. 西班牙语摘要 / Resumen en Español
Este repositorio publica una suite de reglas YARA para validación defensiva ante posibles compromisos de cadena de suministro en ecosistemas Unisoc T606/T616.
Las detecciones deben interpretarse en conjunto con análisis forense, telemetría de red, verificación de certificados y control de integridad de firmware.
Un match YARA es un **indicador técnico de riesgo**, no una atribución definitiva.
Repositorios públicos relacionados:
- https://github.com/lexs201992-gif/Yara-investigation-rules-
- https://github.com/lexs201992-gif/motorola-g04s-t606-spreadtrum
- https://github.com/lexs201992-gif/Citizen-Protection-Guide-Mitigating-the-Unisoc-Longcheer-Threat
**推荐引用格式:**
lexs201992-gif. *Unisoc T606/T616 供应链检测套件*. 版本 1.0.0, 2026年7月.
标签:DNS信息、DNS暴力破解, DNS 反向解析, Metaprompt, YARA规则, 威胁情报, 库, 应急响应, 开发者工具, 目录枚举, 移动安全