Colby-hin/threat-hunting-scenario-tor
GitHub: Colby-hin/threat-hunting-scenario-tor
一个基于Microsoft Defender for Endpoint的威胁狩猎场景,演示如何检测企业环境中未经授权的TOR浏览器使用。
Stars: 0 | Forks: 0
# 官方[网络靶场](http://joshmadakor.tech/cyber-range)项目
# 威胁狩猎报告:未经授权的TOR使用
- [场景创建](https://github.com/Colby-hin/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR平台:Microsoft Defender for Endpoint
- Kusto查询语言(KQL)
- Tor浏览器
## 场景
管理层怀疑一些员工可能正在使用TOR浏览器来绑过网络安全控制,因为最近的网络日志显示存在异常的加密流量模式以及与已知TOR入口节点的连接。此外,有匿名举报称员工在工作时间讨论如何访问受限网站。目标是检测任何TOR使用情况并分析相关的安全事件以减轻潜在风险。如果发现任何TOR使用,请通知管理层。
### 高级别TOR相关IoC发现计划
- **检查 `DeviceFileEvents`** 中是否存在任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 中是否存在任何安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 中是否存在任何通过已知TOR端口的出站连接的迹象。
## 步骤
### 1. 搜索 `DeviceFileEvents` 表
搜索了任何包含"tor"字符串的文件,发现用户"employee"下载了TOR安装程序,做了一些导致许多TOR相关文件被复制到桌面的操作,并在桌面上创建了一个名为 `tor-shopping-list.txt` 的文件。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "thl-colby"
| where InitiatingProcessAccountName == "azureuser"
| where FileName startswith "tor"
| where Timestamp >= datetime(Feb 22, 2026 8:08:47 PM)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 搜索 `DeviceProcessEvents` 表
搜索了任何包含字符串"tor-browser-windows-x86_64-portable-14.0.1.exe"的 `ProcessCommandLine`。根据返回的日志,在 `2024-11-08T22:16:47.4484567Z`,"threat-hunt-lab"设备上的一名员工从其下载文件夹运行了文件 `tor-browser-windows-x86_64-portable-14.0.1.exe`,使用了一个触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "thl-colby"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.6.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 搜索 `DeviceProcessEvents` 表以查找TOR浏览器执行
搜索了用户"employee"实际打开TOR浏览器的任何迹象。有证据表明他们在 `2024-11-08T22:17:21.6357935Z` 确实打开了它。之后还有多次 `firefox.exe`(TOR)以及 `tor.exe` 被启动的情况。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "thl-colby"
| where FileName has_any ("tor.exe", "firefox.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 搜索 `DeviceNetworkEvents` 表以查找TOR网络连接
搜索了TOR浏览器使用任何已知TOR端口建立连接的迹象。在 `2024-11-08T22:18:01.1246358Z`,"threat-hunt-lab"设备上的一名员工成功建立了到远程IP地址 `176.198.159.33` 端口 `9001` 的连接。该连接由位于文件夹 `c:\users\employee\desktop\tor browser\browser\torbrowser\tor\tor.exe` 中的进程 `tor.exe` 发起。还有其他几个通过端口 `443` 连接到网站的连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "thl-colby"
| where InitiatingProcessAccountName != "system"
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 按时间顺序的事件时间线
### 1. 文件下载 - TOR安装程序
时间范围:从2026年2月22日晚上8:08:47开始
发生了什么:
对DeviceFileEvents表的搜索显示,由设备thl-colby上的azureuser发起了多个包含"tor"字符串的文件事件。
此活动表明用户下载了TOR安装程序,并且TOR相关文件被创建或复制到桌面。
此阶段的调查确认:
- TOR安装程序已被下载
- 设备上创建了名称中包含"tor"的文件
- 桌面上创建了一个名为tor-shopping-list.txt的文件
### 2. 进程执行 - TOR浏览器安装
时间戳:2026年2月22日晚上8:13:03
发生了什么:
便携式TOR浏览器安装程序(tor-browser-windows-x86_64-portable-15.0.6.exe)由azureuser从下载文件夹执行。
安装程序使用静默安装标志(/S)启动,表示无需用户提示的安静安装过程。
这确认了TOR浏览器安装已执行。
### 3. 进程执行 - TOR浏览器启动
时间戳(观察时间):2026-02-23T01:13:56.1645318Z
发生了什么:
进程遥测显示与实际TOR浏览器相关的可执行文件(如tor.exe或firefox.exe)已启动。这表明TOR浏览器在安装后被打开并运行。
这表明用户不仅仅是安装了浏览器——他们还主动启动了它并开始了会话。
### 4. 网络连接 - TOR网络
时间戳(观察时间):2026-02-23T01:14:16.9136841Z
发生了什么:
网络遥测显示从端点thl-colby使用tor.exe建立了成功的出站连接。连接到了:
远程IP:89.117.1.123
远程端口:9001
发起进程:tor.exe
文件夹路径:c:\users\azureuser\desktop\tor browser\browser\torbrowser\tor\tor.exe
此连接是通过已知TOR进程和已知TOR网络端口建立的,确认TOR浏览器不仅被启动,还被用于连接到TOR网络。
## 总结
设备"thl-colby"上的用户"azureuser"启动并完成了TOR浏览器的安装。他们继续启动浏览器,在TOR网络中建立连接,并在桌面上创建了各种与TOR相关的文件,包括一个名为 `tor-shopping-list.txt` 的文件。这一系列活动表明该用户积极安装、配置并使用了TOR浏览器,可能是为了匿名浏览目的,并可能以"购物清单"文件的形式进行了记录。
## 采取的响应
在端点 `thl-colby` 上由用户 `azureuser` 确认了TOR使用。该设备已被隔离,并已通知该用户的直接经理。
# 威胁狩猎报告:未经授权的TOR使用
- [场景创建](https://github.com/Colby-hin/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR平台:Microsoft Defender for Endpoint
- Kusto查询语言(KQL)
- Tor浏览器
## 场景
管理层怀疑一些员工可能正在使用TOR浏览器来绑过网络安全控制,因为最近的网络日志显示存在异常的加密流量模式以及与已知TOR入口节点的连接。此外,有匿名举报称员工在工作时间讨论如何访问受限网站。目标是检测任何TOR使用情况并分析相关的安全事件以减轻潜在风险。如果发现任何TOR使用,请通知管理层。
### 高级别TOR相关IoC发现计划
- **检查 `DeviceFileEvents`** 中是否存在任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 中是否存在任何安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 中是否存在任何通过已知TOR端口的出站连接的迹象。
## 步骤
### 1. 搜索 `DeviceFileEvents` 表
搜索了任何包含"tor"字符串的文件,发现用户"employee"下载了TOR安装程序,做了一些导致许多TOR相关文件被复制到桌面的操作,并在桌面上创建了一个名为 `tor-shopping-list.txt` 的文件。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "thl-colby"
| where InitiatingProcessAccountName == "azureuser"
| where FileName startswith "tor"
| where Timestamp >= datetime(Feb 22, 2026 8:08:47 PM)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 搜索 `DeviceProcessEvents` 表
搜索了任何包含字符串"tor-browser-windows-x86_64-portable-14.0.1.exe"的 `ProcessCommandLine`。根据返回的日志,在 `2024-11-08T22:16:47.4484567Z`,"threat-hunt-lab"设备上的一名员工从其下载文件夹运行了文件 `tor-browser-windows-x86_64-portable-14.0.1.exe`,使用了一个触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "thl-colby"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.6.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 搜索 `DeviceProcessEvents` 表以查找TOR浏览器执行
搜索了用户"employee"实际打开TOR浏览器的任何迹象。有证据表明他们在 `2024-11-08T22:17:21.6357935Z` 确实打开了它。之后还有多次 `firefox.exe`(TOR)以及 `tor.exe` 被启动的情况。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "thl-colby"
| where FileName has_any ("tor.exe", "firefox.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 搜索 `DeviceNetworkEvents` 表以查找TOR网络连接
搜索了TOR浏览器使用任何已知TOR端口建立连接的迹象。在 `2024-11-08T22:18:01.1246358Z`,"threat-hunt-lab"设备上的一名员工成功建立了到远程IP地址 `176.198.159.33` 端口 `9001` 的连接。该连接由位于文件夹 `c:\users\employee\desktop\tor browser\browser\torbrowser\tor\tor.exe` 中的进程 `tor.exe` 发起。还有其他几个通过端口 `443` 连接到网站的连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "thl-colby"
| where InitiatingProcessAccountName != "system"
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 按时间顺序的事件时间线
### 1. 文件下载 - TOR安装程序
时间范围:从2026年2月22日晚上8:08:47开始
发生了什么:
对DeviceFileEvents表的搜索显示,由设备thl-colby上的azureuser发起了多个包含"tor"字符串的文件事件。
此活动表明用户下载了TOR安装程序,并且TOR相关文件被创建或复制到桌面。
此阶段的调查确认:
- TOR安装程序已被下载
- 设备上创建了名称中包含"tor"的文件
- 桌面上创建了一个名为tor-shopping-list.txt的文件
### 2. 进程执行 - TOR浏览器安装
时间戳:2026年2月22日晚上8:13:03
发生了什么:
便携式TOR浏览器安装程序(tor-browser-windows-x86_64-portable-15.0.6.exe)由azureuser从下载文件夹执行。
安装程序使用静默安装标志(/S)启动,表示无需用户提示的安静安装过程。
这确认了TOR浏览器安装已执行。
### 3. 进程执行 - TOR浏览器启动
时间戳(观察时间):2026-02-23T01:13:56.1645318Z
发生了什么:
进程遥测显示与实际TOR浏览器相关的可执行文件(如tor.exe或firefox.exe)已启动。这表明TOR浏览器在安装后被打开并运行。
这表明用户不仅仅是安装了浏览器——他们还主动启动了它并开始了会话。
### 4. 网络连接 - TOR网络
时间戳(观察时间):2026-02-23T01:14:16.9136841Z
发生了什么:
网络遥测显示从端点thl-colby使用tor.exe建立了成功的出站连接。连接到了:
远程IP:89.117.1.123
远程端口:9001
发起进程:tor.exe
文件夹路径:c:\users\azureuser\desktop\tor browser\browser\torbrowser\tor\tor.exe
此连接是通过已知TOR进程和已知TOR网络端口建立的,确认TOR浏览器不仅被启动,还被用于连接到TOR网络。
## 总结
设备"thl-colby"上的用户"azureuser"启动并完成了TOR浏览器的安装。他们继续启动浏览器,在TOR网络中建立连接,并在桌面上创建了各种与TOR相关的文件,包括一个名为 `tor-shopping-list.txt` 的文件。这一系列活动表明该用户积极安装、配置并使用了TOR浏览器,可能是为了匿名浏览目的,并可能以"购物清单"文件的形式进行了记录。
## 采取的响应
在端点 `thl-colby` 上由用户 `azureuser` 确认了TOR使用。该设备已被隔离,并已通知该用户的直接经理。标签:Azure, Conpot, EDR, IoC检测, IP 地址批量处理, KQL, Kusto, Microsoft Defender for Endpoint, TOR检测, Windows安全, Windows 调试器, 加密通道检测, 安全运营, 恶意流量检测, 扫描框架, 数字取证, 终端检测与响应, 网络安全, 网络安全, 脆弱性评估, 自动化脚本, 隐私保护, 隐私保护