Tohru-art/threat-hunting-scenario-tor

# 威胁狩猎报告：未经授权的 TOR 使用 - [场景创建](https://github.com/Tohru-art/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md) ## 利用的平台和语言 - Windows 11 虚拟机（Microsoft Azure） - EDR 平台：Microsoft Defender for Endpoint - Kusto 查询语言（KQL） - Tor 浏览器 ## 场景 管理层怀疑部分员工可能使用 TOR 浏览器绕过网络安全控制，因为近期网络日志显示异常的加密流量模式以及连接到已知的 TOR 入口节点。此外，有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 使用情况并分析与安全相关的事件以缓解潜在风险。如果发现任何 TOR 使用，向管理层报告。 ### 高级 TOR 相关 IoC 发现计划 - **检查 `DeviceFileEvents`**，查找任何包含 `tor(.exe)` 或 `firefox(.exe)` 的文件事件。 - **检查 `DeviceProcessEvents`**，查找安装或使用的任何迹象。 - **检查 `DeviceNetworkEvents`**，查找通过已知 TOR 端口发出的外连连接的任何迹象。 ## 执行步骤 ### 1. 查询 `DeviceFileEvents` 表 搜索包含字符串 "tor" 的任何文件，发现用户 "employee" 下载了 TOR 安装程序，随后桌面上出现了许多与 TOR 相关的文件，并在 `2026-04-17T01:40:35.6199913Z` 创建了名为 `tor-shopping-list.txt` 的文件。这些事件始于 `2026-04-17T01:27:14.3153964Z`。 **用于定位事件的查询：** ``` DeviceFileEvents | where DeviceName == "will-sc3-lab" | where InitiatingProcessAccountName == "will" | where FileName contains "tor" | where Timestamp >= datetime(2026-04-17T01:27:14.3153964Z) | order by Timestamp desc | project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName ``` ### 2. 查询 `DeviceProcessEvents` 表 搜索包含字符串 "tor-browser-windows-x86_64-portable-15.0.9.exe" 的任何 `ProcessCommandLine`。根据返回的日志，在 `2026-04-17T01:29:03.2574635Z`，一名员工在 "will-sc3-lab" 设备上从下载文件夹运行了该文件，使用触发静默安装的命令。 **用于定位事件的查询：** ``` DeviceProcessEvents | where DeviceName == "will-sc3-lab" | where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.9.exe" | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine ``` ### 3. 查询 `DeviceProcessEvents` 表以查找 TOR 浏览器执行 搜索用户 "employee" 实际打开 TOR 浏览器的任何迹象。有证据表明他们在 `2026-04-17T01:29:34.432028Z` 打开了它。随后还出现了多个 `firefox.exe`（TOR）以及 `tor.exe` 实例。 **用于定位事件的查询：** ``` DeviceProcessEvents | where DeviceName == "will-sc3-lab" | where FileName has_any("tor.exe", "firefox.exe", "torbrowser.exe", "tor-browser.exe", "start-tor-browser.exe", "torbrowser-install.exe", "torbrowser-install-win64.exe", "tor-browser-windows-x86_64-portable.exe") | project Timestamp, DeviceName, AccountName, ActionType, FolderPath, SHA256, ProcessCommandLine | order by Timestamp desc ``` ### 4. 查询 `DeviceNetworkEvents` 表以查找 TOR 网络连接 搜索 TOR 浏览器用于建立任何已知 TOR 端口连接的迹象。在 `2026-04-17T01:29:43.0887744Z`，一名员工在 "threat-hunt-lab" 设备上成功建立了到远程 IP 地址 `194.32.107.231` 端口 `9001` 的连接。该连接由 `tor.exe` 发起，位于文件夹 `c:\users\will\desktop\tor browser\browser\torbrowser\tor\tor.exe`。还建立了到端口 `443` 的其他站点连接。 **用于定位事件的查询：** ``` DeviceNetworkEvents | where DeviceName == "will-sc3-lab" | where InitiatingProcessAccountName != "system" | where InitiatingProcessFileName in ("tor.exe", "firefox.exe") | where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "9151", "80","443") | project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath | order by Timestamp desc ``` ## 时间线事件 ### 事件时间线 ### 1. 文件下载 - TOR 安装程序 - **时间戳：** `2026-04-16T21:27:14.0000000Z` - **事件：** 用户 "will" 下载了名为 `tor-browser-windows-x86_64-portable-15.0.9.exe` 的文件到 `Downloads` 文件夹。 - **操作：** 检测到文件下载。 - **文件路径：** `C:\Users\will\Downloads\tor-browser-windows-x86_64-portable-15.0.9.exe` ### 2. 进程执行 - TOR 浏览器安装（首次运行） - **时间戳：** `2026-04-16T21:27:22.0000000Z` - **事件：** 用户 "will" 在未带任何参数的情况下执行了文件 `tor-browser-windows-x86_64-portable-15.0.9.exe`。这可能是在继续安装前对安装程序的初步检查。 - **操作：** 检测到进程创建。 - **命令：** `tor-browser-windows-x86_64-portable-15.0.9.exe` - **文件路径：** `C:\Users\will\Downloads\tor-browser-windows-x86_64-portable-15.0.9.exe` ### 3. 进程执行 - 静默安装 - **时间戳：** `2026-04-16T21:29:03.0000000Z` - **事件：** 用户 "will" 第二次执行安装程序并使用 `/S` 标志，启动了无提示的静默后台 TOR 浏览器安装。 - **操作：** 检测到进程创建。 - **命令：** `tor-browser-windows-x86_64-portable-15.0.9.exe /S` - **文件路径：** `C:\Users\will\Downloads\tor-browser-windows-x86_64-portable-15.0.9.exe` ### 4. 文件创建 - TOR 浏览器文件解压到桌面 - **时间戳：** `2026-04-16T21:29:15.0000000Z` - **事件：** 静默安装后，TOR 浏览器便携包将其核心文件解压到用户桌面。关键二进制文件和许可文档被写入磁盘，包括 `tor.exe` 及相关许可文件。 - **操作：** 检测到文件创建。 - **文件路径：** `C:\Users\will\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` - **SHA256（tor.exe）：** `176c9cb6131fb49fa5e982e823766947e5ce673177c7fff339f5e7a9d330ebf3` ### 5. 文件创建 - 桌面快捷方式 - **时间戳：** `2026-04-16T21:29:20.0000000Z` - **事件：** 在桌面上创建了快捷方式文件 `Tor Browser.lnk`，表明用户意图进行持久且重复的访问。 - **操作：** 检测到文件创建。 - **文件路径：** `C:\Users\will\Desktop\Tor Browser\Tor Browser.lnk` ### 6. 文件删除 - 安装程序被移除 - **时间戳：** `2026-04-16T21:29:22.0000000Z` - **事件：** 原始安装程序在安装完成后从下载文件夹中删除。这符合故意移除证据的行为。 - **操作：** 检测到文件删除。 - **文件路径：** `C:\Users\will\Downloads\tor-browser-windows-x86_64-portable-15.0.9.exe` ### 7. 进程执行 - TOR 浏览器启动 - **时间戳：** `2026-04-16T21:29:34.0000000Z` - **事件：** 用户 "will" 打开了 TOR 浏览器。随后启动了与 TOR 浏览器相关的其他进程，如 `firefox.exe` 和 `tor.exe`。一个 GPU 实用工具进程和远程数据解码器（RDD）进程紧随其后作为子进程。 - **操作：** 检测到进程创建。 - **文件路径：** `C:\Users\will\Desktop\Tor Browser\Browser\firefox.exe` - **SHA256（firefox.exe）：** `ef09a491d65b51f1f304145f914a6682acd5c6226d0a241361730881134de35` ### 8. 进程执行 - TOR 守护进程启动 - **时间戳：** `2026-04-16T21:29:36.0000000Z` - **事件：** 路由守护进程 `tor.exe` 被启动，完成了完整的 TOR 客户端堆栈。进程从其 `torrc` 加载配置，并在本地主机上打开控制端口 9151 和 SOCKS 代理端口 9150。 - **操作：** 检测到进程创建。 - **命令：** `"tor.exe" -f "torrc" DataDirectory "..." +__ControlPort 127.0.0.1:9151 +__SocksPort "127.0.0.1:9150" DisableNetwork 1` - **文件路径：** `C:\Users\will\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` ### 9. 网络连接 - 建立 TOR 电路 - **时间戳：** `2026-04-16T21:29:37.0000000Z` 至 `2026-04-16T21:29:51.0000000Z` - **事件：** `tor.exe` 成功连接到多个外部 TOR 中继 IP，确认了一个活跃且可用的 TOR 电路。`firefox.exe` 连接到本地 SOCKS 代理，确认所有浏览器流量均通过 TOR 路由。 - **操作：** 检测到连接成功。 - **连接：** - `109.69.218.176` 端口 `443`（tor.exe） - `87.236.195.216` 端口 `80`（tor.exe） - `194.32.107.231` 端口 `9001` 已知 TOR 中继端口（tor.exe） - `127.0.0.1:9151` firefox.exe（控制端口） - `127.0.0.1:9150` firefox.exe（SOCKS 代理） ### 10. 进程执行 - 扩展浏览会话 - **时间戳：** `2026-04-16T21:29:52.0000000Z` 至 `2026-04-16T21:35:36.0000000Z` - **事件：** 用户进行了持续约 6 分钟的 TOR 网络浏览会话。选项卡内容进程持续生成，选项卡 ID 从 7 递增到 20，表明进行了有意的探索性浏览。 - **操作：** 检测到多个进程创建。 - **文件路径：** `C:\Users\will\Desktop\Tor Browser\Browser\firefox.exe` ### 11. 网络连接 - 额外中继连接 - **时间戳：** `2026-04-16T21:37:25.0000000Z` - **事件：** `tor.exe` 建立了一个额外的出站连接，与 TOR 维持或重建中继电路的行为一致。 - **操作：** 检测到连接成功。 - **远程 IP：** `64.65.1.100` 端口 `443`（tor.exe） ### 12. 文件创建 - 可疑工件：tor-shopping-list.txt - **时间戳：** `2026-04-16T21:40:35.0000000Z` - **事件：** 用户 "will" 在文档文件夹中创建了名为 `tor-shopping-list.txt` 的文件。在确认使用 TOR 的背景下，该文件名强烈暗示用户正在访问暗网市场并记录感兴趣的项目。一个对应的“最近”快捷方式同时被创建，确认文件在创建后立即被打开。 - **操作：** 检测到文件创建。 - **文件路径：** `C:\Users\will\Documents\tor-shopping-list.txt` - **SHA256：** `d28a9b9077eb0d48c3a602620440376de0af0ae25ef6fc5476ec79fcb2754413` ### 13. 进程执行 - TOR 浏览器重新启动（第二个会话） - **时间戳：** `2026-04-16T22:04:22.0000000Z` 至 `2026-04-16T22:05:08.0000000Z` - **事件：** 用户在大约 25 分钟后重新启动了 TOR 浏览器。创建了四个 `firefox.exe` 内容进程和两个具有不同控制器进程 ID 的额外 `tor.exe` 守护进程，确认了一个新的独立会话。这表明是故意的重复使用。 - **操作：** 检测到进程创建。 - **文件路径：** `C:\Users\will\Desktop\Tor Browser\Browser\firefox.exe` ### 14. 文件创建 - 表单历史数据库写入 - **时间戳：** `2026-04-17T00:08:09.0000000Z` - **事件：** `formhistory.sqlite` 在 TOR 浏览器配置目录中创建，距离首次启动已超过两个小时。此文件存储在浏览会话期间输入的网络表单数据，确认会话持续至深夜，并且表单输入数据被保留在磁盘上。 - **操作：** 检测到文件创建。 - **文件路径：** `C:\Users\will\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\formhistory.sqlite` ## 总结 用户 "will" 在 "will-sc3-lab" 设备上启动并完成了 TOR 浏览器的安装。随后，他们启动了浏览器，建立了 TOR 网络连接，并在桌面上创建了各种与 TOR 相关的文件，包括名为 `tor-shopping-list.txt` 的文件。此活动序列表明用户主动安装、配置并使用了 TOR 浏览器，很可能用于匿名浏览，并可能以“购物清单”文件的形式记录。 ## 响应措施 已通过端点 `will-sc3-lab` 确认用户 `will` 使用了 TOR。该设备已被隔离，并已通知用户的直接主管。

标签：AMSI绕过, DeviceFileEvents, DeviceNetworkEvents, DeviceProcessEvents, EDR, IOC, KQL, Kusto查询语言, Microsoft Defender for Endpoint, TOR, Tor Browser, Windows 11, Windows 调试器, 加密流量, 匿名浏览, 可疑网络行为, 员工违规, 威胁检测, 数据统计, 洋葱路由, 端口扫描, 网络安全监控, 网络隐蔽信道, 脆弱性评估, 驱动开发