lexs201992-gif/Yara-investigation-rules-

GitHub: lexs201992-gif/Yara-investigation-rules-

专注于 Unisoc T606/T616 生态的供应链安全 YARA 检测规则集,帮助防御团队通过固件和系统镜像扫描识别 overlay 滥用与厂商分区异常等潜在入侵指标。

Stars: 0 | Forks: 0

# Unisoc T606/T616 供应链检测套件 ## 用于防御性验证和事件响应的技术发布 **发布日期:** 2026年7月10日 **作者:** lexs201992-gif (独立安全研究, LATAM 分部) **版本:** 1.0.0 **严重性分类:** 严重 (防御语境) **TLP:** WHITE (公开分发) ## 1. 目的与范围 本仓库提供了一个防御性的 **YARA 检测套件**,旨在支持: - 事件响应分诊 - 固件和系统镜像分析 - 企业/移动设备群风险评估 - 针对疑似供应链滥用的跨团队情报共享 当前的研究重点是针对选定的 **Unisoc T606/T616** 设备生态系统和厂商 overlay 滥用模式的潜在入侵指标。 ## 2. 运营背景 (防御性框架) 这些规则旨在识别可能与以下情况相符的可疑工件: - Runtime Resource Overlay (RRO) 滥用 - Vendor 分区持久化机制 - 安全策略降级/绕过尝试 - 隐蔽通信工件 (包括类似 WireGuard/MACsec 的痕迹) 调查结果应结合以下内容进行综合解读: 1. 固件来源验证 2. 证书链分析 3. 设备遥测和网络证据 4. 可重复的取证工作流 ## 3. 规则集摘要 ### 3.1 `SupplyChain_Overlay_Abuse_Unisoc` (附录 #81) **目标:** 检测可疑的 Android overlay 滥用行为。 **主要指标:** - `android.unisoc.*` 命名空间模式 - `/vendor/overlay` 及相关 overlay 路径 - 构建异常 (例如:自动生成的 overlay + 类似注入的工件) **建议用途:** 持久化和重置后的工件验证。 ### 3.2 `Unisoc_Vendor_Overlay_Backdoor_Fleet` (附录 #82) **目标:** 识别与可疑参考设计相关的硬编码厂商/设备指标。 **主要指标:** - `cpu_T606` - 板子代号 `qogirl6` - 引用 `CN=Longcheer` 的证书异常 **建议用途:** 高置信度的企业群组分诊和上报。 ### 3.3 `Unisoc_T606_Supply_Chain_Master` (最终评估) **目标:** 关联多层指标以用于事件确认工作流。 **主要指标:** - 可疑的包/哈希情报 (如果有) - 数据外发工件字符串 (`wireguard`, `macsec`) - 硬件标识符 (`ums9230`, `ums9130`) **建议用途:** IR (事件响应) 确认支持和结构化报告。 ## 4. 实施指南 ### 4.1 事件响应 / 取证团队 对固件转储、提取的分区和已知良好的基线使用 YARA 扫描: ``` yara -r unisoc_supply_chain_rules.yar /path/to/firmware_dump/ ``` **解读模型** - **正面匹配:** 视为**潜在入侵指标**,隔离资产,保留证据,上报以进行完整的取证审查。 - **无匹配:** **不代表绝对安全**;继续进行行为和网络分析。 ### 4.2 企业 / 政府 (MDM, EDR, SOC) 1. 至少扫描:`/vendor/overlay`, `/product/overlay`, `/system` 2. 将匹配结果与设备型号、构建指纹和签名证书链进行关联 3. 隔离高置信度检测结果,等待取证验证 4. 维持针对 vendor 分区漂移的纵向完整性检查 ### 4.3 网络防御 (Suricata/Zeek/NDR) 通过遥测搜寻来补充基于文件的检测,以查找: - 非典型目标/端口上的类似 QUIC/WireGuard 的流量 - 受影响设备组的类似 Beacon 的定时通信 - 与可疑设备相关的 DNS/TLS 异常 ## 5. 证据处理与质量控制 为了提高置信度并减少误报: - 针对每个型号/构建的干净基线镜像进行验证 - 记录所有已分析工件的完整哈希来源 (SHA-256) - 保留监管元数据 (获取时间、来源、工具版本) - 在正式上报前要求多信号确认 - 在厂商 OTA 更新和策略更改后重新测试检测 ## 6. 公共仓库与相关工作 - **YARA 调查规则 (本仓库):** https://github.com/lexs201992-gif/Yara-investigation-rules- - **技术研究仓库:** https://github.com/lexs201992-gif/motorola-g04s-t606-spreadtrum - **公民保护指南 (公众意识和缓解措施):** https://github.com/lexs201992-gif/Citizen-Protection-Guide-Mitigating-the-Unisoc-Longcheer-Threat ## 7. 法律与分析免责声明 - 本仓库提供用于**防御性安全运营**和研究协作。 - 检测命中表明存在**可疑情况**,不代表自动进行法律归因。 - 除非由主管机构独立验证,否则对攻击者、厂商或行动的任何引用均应视为**分析假设**。 - 用户有责任遵守适用的法律、披露制度和内部政策。 ## 8. 协作与负责任披露 欢迎就以下方面做出贡献: - 变种样本和新的 IOC - 误报/漏报报告 - 额外的遥测关联规则 - 区域威胁情报背景 ### 联系方式与个人主页 - **ORCID:** https://orcid.org/0009-0009-4336-1491 - **AttackerKB:** https://attackerkb.com/contributors/lexs201992-gif - **LinkedIn:** https://www.linkedin.com/in/alexdelacruz92?trk=contact-info - **VirusTotal:** https://www.virustotal.com/gui/user/Alex992 - **Email:** lexs201992@gmail.com - **PGP:** 应要求提供,用于加密通信 ## 9. 西班牙语摘要 / Resumen en Español Este repositorio publica una suite de reglas YARA para validación defensiva ante posibles compromisos de cadena de suministro en ecosistemas Unisoc T606/T616. Las detecciones deben interpretarse en conjunto con análisis forense, telemetría de red, verificación de certificados y control de integridad de firmware. Un match YARA es un **indicador técnico de riesgo**, no una atribución definitiva. Repositorios públicos relacionados: - https://github.com/lexs201992-gif/Yara-investigation-rules- - https://github.com/lexs201992-gif/motorola-g04s-t606-spreadtrum - https://github.com/lexs201992-gif/Citizen-Protection-Guide-Mitigating-the-Unisoc-Longcheer-Threat **推荐引用格式:** lexs201992-gif. *Unisoc T606/T616 供应链检测套件*. 版本 1.0.0, 2026年7月.
标签:DNS信息、DNS暴力破解, DNS 反向解析, Metaprompt, YARA规则, 威胁情报, 库, 应急响应, 开发者工具, 目录枚举, 移动安全