KennethGates/Threat-hunting-scenario-Tor

# 威胁狩猎报告：未经授权的 TOR 使用 - [场景创建](https://github.com/KennethGates/Threat-hunting-scenario-Tor/blob/main/threat-hunting-scenario-tor-event-creation.md) ## 利用的平台和语言 - Windows 10 虚拟机（Microsoft Azure） - EDR 平台：Microsoft Defender for Endpoint - Kusto 查询语言（KQL） - Tor 浏览器 ## 场景 管理层怀疑某些员工可能使用 TOR 浏览器绕过网络安全控制，因为最近的网络日志显示异常的加密流量模式以及与已知 TOR 入口节点的连接。此外，有匿名报告称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 使用情况并分析与安全相关的事件，以缓解潜在风险。如果发现任何 TOR 使用，请通知管理层。 ### 高级 TOR 相关 IoC 发现计划 - **检查 `DeviceFileEvents`**，查找任何包含 `tor(.exe)` 或 `firefox(.exe)` 文件事件的记录。 - **检查 `DeviceProcessEvents`**，查找安装或使用的任何迹象。 - **检查 `DeviceNetworkEvents`**，查找通过已知 TOR 端口发出的出站连接迹象。 ## 执行步骤 ### 1. 查询 `DeviceFileEvents` 表 查询 DeviceFileEvents 表中任何文件名包含字符串“tor”的记录，并发现： 看起来用户“kennygatz”下载了一个 TOR 安装程序，随后许多与 TOR 相关的文件被复制到桌面，并创建了一个名为“tor-shopping-list.txt”的文件。该事件开始于：2025-08-21T15:10:56.6220488Z **用于定位事件的查询：** ``` DeviceFileEvents | where DeviceName == "ken2-edr-test" | where InitiatingProcessAccountName == "kennygatz" | where FileName contains "tor" | where Timestamp >= datetime(2025-08-21T15:10:56.6220488Z) | order by Timestamp desc | project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName ``` ### 2. 查询 `DeviceProcessEvents` 表 搜索包含字符串“tor-browser-windows-x86_64-portable-14.5.6.exe”的任何 `ProcessCommandLine`。根据返回的日志，在 `2025年8月21日 上午11:10`，一名员工在“ken2-edr-test”设备上从下载文件夹运行了文件 `"tor-browser-windows-x86_64-portable-14.5.6.exe"`，并使用触发静默安装的命令。 **用于定位事件的查询：** ``` DeviceProcessEvents | where DeviceName == "ken2-edr-test" | where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-14.5.6.exe" |project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine ``` ### 3. 查询 `DeviceProcessEvents` 表以查找 TOR 浏览器执行 搜索用户“KennyGatz”是否实际打开了 TOR 浏览器的迹象。有证据表明他们在 `2025-08-21T15:28:26.9899619Z` 打开了它。随后还出现了多个 `firefox.exe`（TOR）以及 `tor.exe` 实例。 **用于定位事件的查询：** ``` DeviceProcessEvents | where DeviceName == "ken2-edr-test" | where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe", "start-tor-browser.exe", "torbrowser-install.exe", "tor-browser-setup.exe") | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine | order by Timestamp desc ``` ### 4. 查询 `DeviceNetworkEvents` 表以查找 TOR 网络连接 搜索 TOR 浏览器是否使用任何已知 TOR 端口建立连接的迹象。在 `2025年8月21日 上午11:28`，一名员工在“ken2-edr-test”设备上成功建立了到远程 IP 地址 `127.0.0.1` 端口 `9151` 的连接。该连接由位于文件夹 `c:\users\employee\desktop\tor browser\browser\TorBrowser\Tor\tor.exe` 的进程 `tor.exe` 发起。还存在一些通过端口 `443` 访问网站的其他连接。 **用于定位事件的查询：** ``` DeviceNetworkEvents | where DeviceName == "ken2-edr-test" | where InitiatingProcessAccountName != "system" | where InitiatingProcessFileName in ("tor.exe", "firefox.exe") | where RemotePort in ("9001", "9030", "9050", "9051", "9150", "9151") | project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName | order by Timestamp desc ``` ## 事件时间线 ### 1. 文件下载 — TOR 安装程序 时间戳：2025-08-21T15:10:56.6220488Z 事件：用户“kennygatz”下载了一个名为 tor-browser-windows-x86_64-portable-14.5.6.exe 的文件到下载文件夹。随后该文件被标记为已删除（很可能是由于解压/安装）。 操作：检测到文件下载。 文件路径：C:\Users\kennygatz\Downloads\tor-browser-windows-x86_64-portable-14.5.6.exe ### 2. 进程执行 — TOR 浏览器安装 时间戳：2025-08-21T15:10:57Z 事件：用户“kennygatz”以静默模式执行了安装程序 tor-browser-windows-x86_64-portable-14.5.6.exe，启动了 TOR 浏览器的后台安装。 操作：检测到进程创建。 命令：tor-browser-windows-x86_64-portable-14.5.6.exe /S 文件路径：C:\Users\kennygatz\Downloads\tor-browser-windows-x86_64-portable-14.5.6.exe ### 3. 进程执行 — TOR 浏览器启动 时间戳：2025-08-21T15:28:26.9899619Z 事件：用户“kennygatz”启动了 TOR 浏览器。随后创建了包括 firefox.exe（前端）和 tor.exe（路由进程）在内的多个进程，确认浏览器已成功启动。 操作：检测到与 TOR 浏览器相关的可执行文件进程创建。 文件路径：C:\Users\kennygatz\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe ### 4. 网络连接 — TOR 网络 时间戳：2025-08-21T15:28:31Z 事件：firefox.exe 进程发起了一个到 127.0.0.1 端口 9151 的本地连接，建立了与 TOR 控制服务的通信。这确认了 TOR 客户端处于活动状态。 操作：连接成功。 进程：firefox.exe 文件路径：C:\Users\kennygatz\Desktop\Tor Browser\Browser\firefox.exe ### 5. 附加网络连接 — TOR 浏览器活动 时间戳： - 2025-08-21T15:28:33Z — 观察到通过端口 443 访问外部站点。 - 2025-08-21T15:29:02Z — 持续保持与 127.0.0.1 端口 9151 的本地连接。 事件：建立了其他 TOR 相关连接，确认用户“kennygatz”正在进行持续的匿名浏览活动。 操作：检测到多个成功的 TOR 相关连接。 ### 6. 文件创建 — TOR 购物清单 时间戳：2025-08-21T15:32:47Z 事件：用户“kennygatz”在桌面上创建了一个名为 tor-shopping-list.txt 的文件，可能表示与 TOR 使用相关的笔记或列表。 操作：检测到文件创建。 文件路径：C:\Users\kennygatz\Desktop\tor-shopping-list.txt ## 总结 设备“ken2-edr-test”上的用户“kennygatz”启动并完成了 TOR 浏览器的安装。随后，他们启动了浏览器，建立了 TOR 网络连接，并在桌面上创建了多个与 TOR 相关的文件，包括名为 `tor-shopping-list.txt` 的文件。这一系列操作表明用户主动安装、配置并使用了 TOR 浏览器，很可能用于匿名浏览，并可能以“购物清单”文件的形式进行记录。 ## 响应措施 已通过用户“kennygatz”确认端点“ken2-edr-test”存在 TOR 使用。该设备已被隔离，并已通知用户的直接主管。

标签：Azure虚拟机, Conpot, EDR, IoC, IP 地址批量处理, KQL, Kusto查询语言, Microsoft Defender, TOR, Tor Browser, Windows安全, 加密流量, 匿名网络, 可疑连接, 员工行为监控, 威胁情报, 安全合规, 开发者工具, 文件事件监控, 洋葱路由, 网络代理, 网络安全, 网络安全审计, 网络流量分析, 网络端口检测, 脆弱性评估, 访问控制绕过, 进程活动监控, 隐私保护