cyberwizard-lab/threat-hunting-scenario-tor
GitHub: cyberwizard-lab/threat-hunting-scenario-tor
提供模拟的 TOR 威胁狩猎场景与 KQL 查询,帮助团队验证端点检测与响应能力。
Stars: 0 | Forks: 0
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/cyberwizard-lab/threat-hunting-scenario-tor/blob/main/Threat_Hunt_Event_(TOR%20Usage).md)
## 利用的平台和语言
- Windows 11 虚拟机(Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言(KQL)
- Tor 浏览器
## 场景
管理层怀疑某些员工可能使用 TOR 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及与已知 TOR 入口节点的连接。此外,有匿名报告称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 使用情况并分析相关安全事件以缓解潜在风险。如果发现任何 TOR 使用,向管理层通知。
### 高级别 TOR 相关 IoC 发现计划
- **检查 `DeviceFileEvents`** 是否存在任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 是否存在安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 是否存在通过已知 TOR 端口的出站连接迹象。
## 执行步骤
### 1. 查询 `DeviceFileEvents` 表
搜索包含字符串 "tor" 的任何文件,发现用户 "wizard" 下载了 TOR 安装程序,随后在桌面上创建了许多与 TOR 相关的文件,并在 `2026年3月26日下午4:43:20` 创建了一个名为 `tor-shopping-list.txt` 的文件。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "cyberwizard"
| where FileName contains "tor"
| where Timestamp >= ago(7d)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 查询 `DeviceProcessEvents` 表
搜索包含字符串 "tor-browser" 的任何 `ProcessCommandLine`。根据返回的日志,在 `2026年3月26日下午4:23:56`,"cyberwizard" 设备上的员工从下载文件夹运行了文件 `tor-browser-windows-x86_64-portable-14.0.1.exe`,使用触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "cyberwizard"
| where ProcessCommandLine contains "tor-browser"
| project Timestamp, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 查询 `DeviceProcessEvents` 表以查找 TOR 浏览器执行
搜索用户 "wizard" 实际打开 TOR 浏览器的迹象。有证据表明他们在 `2026年3月26日下午4:29:23` 打开了它。随后还出现了多个 `firefox.exe`(TOR)以及 `tor.exe` 实例。
在下图中,请注意应用程序 "firefox.exe" 位于 "Tor Browser" 文件夹中,这表明它实际上是 TOR。你也可以搜索 [where FolderPath contains "Tor Browser"] 以获得类似结果。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "cyberwizard"
| where AccountName == "wizard"
| where ActionType == "ProcessCreated"
| where FileName has_any ("tor.exe", "tor-browser.exe", "firefox.exe")
| project Timestamp, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| sort by Timestamp desc
```
### 4. 查询 `DeviceNetworkEvents` 表以查找 TOR 网络连接
我搜索了 TOR 浏览器是否使用任何已知 TOR 端口建立连接的迹象。在 `2026年3月26日下午4:26:33`,"cyberwizard" 设备上的员工成功建立了到远程 IP 地址 `94[.]16[.]122[.]61` 端口 `9001` 的连接。该连接由进程 `tor.exe` 发起,位于文件夹 `c:\users\wizard\desktop\tor browser\browser\torbrowser\tor\`。随后建立了多个到端口 9001 站点的连接,以及一个到端口 9150 的回环连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "cyberwizard"
| where InitiatingProcessAccountName != "system"
| where InitiatingProcessFileName in ("tor.exe", "firefox.exe")
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 按时间顺序的事件时间线
## 按时间顺序的事件时间线
### 1. 进程执行——TOR 安装程序启动
- **时间戳:** `2026-03-26 16:23:56`
- **设备:** `cyberwizard`
- **用户:** `wizard`
- **事件:** 从下载目录执行 TOR 安装程序 `tor-browser-windows-x86_64-portable-14.0.1.exe`。
- **操作:** 检测到进程创建,表明用户主动执行。
- **命令行:** 通过命令行参数触发静默安装。
- **文件路径:**
`C:\Users\wizard\Downloads\tor-browser-windows-x86_64-portable-14.0.1.exe`
### 2. 网络活动——初始 TOR 连接建立
- **时间戳:** `2026-03-26 16:26:33`
- **设备:** `cyberwizard`
- **用户:** `wizard`
- **事件:** 到已知 TOR 网络基础设施的出站连接。
- **操作:** 检测到成功的网络连接。
- **远程 IP:** `94.16.122.61`
- **远程端口:** `9001`(TOR 中继端口)
- **进程:** `tor.exe`
- **进程路径:**
`C:\Users\wizard\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe`
### 3. 进程执行——TOR 浏览器启动
- **时间戳:** `2026-03-26 16:29:23`
- **设备:** `cyberwizard`
- **用户:** `wizard`
- **事件:** 成功启动 TOR 浏览器。
- **操作:** 观察到多个进程创建事件。
**识别出的进程:**
- `firefox.exe`(TOR 浏览器包装器)
- `tor.exe`(TOR 服务)
- **观察:** 执行路径确认使用的是 TOR 浏览器捆绑包,而非标准 Firefox。
- **文件路径:**
`C:\Users\wizard\Desktop\Tor Browser\Browser\TorBrowser\Tor\`
### 4. 网络活动——持续的 TOR 通信
- **时间范围:** `2026-03-26 16:26:33 – 16:30:XX`
- **设备:** `cyberwizard`
- **用户:** `wizard`
- **事件:** 通过与 TOR 关联端口进行多次出站连接。
- **操作:** 检测到持续的加密通信。
**观察到的端口:**
- `9001`(TOR 中继)
- `9150`(本地 SOCKS 代理回环)
- **观察:** 行为与活动的 TOR 浏览会话一致。
### 5. 文件系统活动——TOR 工件创建
- **时间戳:** `2026-03-26 16:43:20`
- **设备:** `cyberwizard`
- **用户:** `wizard`
- **事件:** 在桌面上创建与 TOR 相关的文件。
- **操作:** 检测到文件创建。
- **文件名:** `tor-shopping-list.txt`
- **文件路径:**
`C:\Users\wizard\Desktop\tor-shopping-list.txt`
- **观察:** 表明在 TOR 会话期间可能存在用户交互或笔记记录。
## 总结
用户 "wizard" 在 "cyberwizard" 设备上启动并完成了 TOR 浏览器的安装。随后,他们启动了浏览器,建立了 TOR 网络内的连接,并在桌面上创建了多个与 TOR 相关的文件,包括一个名为 `tor-shopping-list.txt` 的文件。此系列活动表明用户主动安装、配置并使用了 TOR 浏览器,很可能用于匿名浏览,并可能以“购物清单”文件的形式进行记录。
## 响应措施
已通过端点 `cyberwizard` 上的用户 `wizard` 确认 TOR 使用。该设备已被隔离,并已通知用户的直接主管。
# 这是一个官方 [Cyber Range](http://joshmadakor.tech/cyber-range) 项目标签:Azure虚拟机, DeviceFileEvents, DeviceNetworkEvents, DeviceProcessEvents, EDR, IoC, KQL, Kusto查询语言, Microsoft Defender for Endpoint, Tor Browser, TOR使用检测, Windows 11, 企业安全, 加密流量, 匿名网络, 取证调查, 安全事件响应, 异常检测, 端点检测与响应, 网络安全监控, 网络流量分析, 网络端口检测, 网络资产管理, 脆弱性评估, 脱壳工具, 驱动开发