EnriqueMiranda347/threat-hunting-scenario-tor
GitHub: EnriqueMiranda347/threat-hunting-scenario-tor
一个基于真实环境与 EDR 数据的 Tor 使用威胁狩猎场景与检测方案。
Stars: 0 | Forks: 0
# Threat-Hunting-Scenario-Tor
# 官方 [Cyber Range](http://joshmadakor.tech/cyber-range) 项目
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/EnriqueMiranda347/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言(KQL)
- Tor 浏览器
## 场景
管理层怀疑部分员工可能使用 TOR 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及连接到已知的 TOR 入口节点。此外,有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 的使用并分析与安全相关的事件,以缓解潜在风险。如果发现任何 TOR 的使用,需通知管理层。
### 高级别 TOR 相关 IoC 探测计划
- **检查 `DeviceFileEvents`** 是否存在任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 是否存在安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 是否存在通过已知 TOR 端口的传出连接迹象。
-
## 采取的步骤
### 1. 查询 `DeviceFileEvents` 表
查询包含字符串 “tor” 或 “firefox” 的文件。发现用户 **emvm** 下载了 Tor 安装程序。随后,多个与 Tor 相关的文件被创建/复制到用户的桌面,包括一个名为 `tor-shopping-list.lnk` 的文件,时间为 `2026-03-28T16:57:39.3853346Z`。
事件始于 `2026-03-28T16:44:50.9669942Z`。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "pc2"
| where FileName contains "tor" or FileName contains "firefox"
| where InitiatingProcessAccountName == "emvm"
| where Timestamp >= datetime(2026-03-28T16:44:50.9669942Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 查询 `DeviceProcessEvents` 表
搜索包含 “tor-browser-windows-x86_64-portable-15.0.8.exe” 的进程命令行。2026-03-28T16:46:01.4354348Z,用户 emvm 在设备 pc2 上从下载文件夹执行了该文件,触发了静默/便携安装。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "pc2"
| where AccountName == "emvm"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.8.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 查询 `DeviceProcessEvents` 表中的 TOR 浏览器执行
搜索用户 emvm 实际打开 Tor 浏览器的迹象。多次生成 firefox.exe(Tor)以及 tor.exe/tor.browser.exe。证据确认浏览器大约在 2026-03-28T16:48:45.593336Z 打开。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "pc2"
| where AccountName == "emvm"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 查询 `DeviceNetworkEvents` 表中的 TOR 网络连接
搜索已知 Tor 端口的连接。日志确认了 Tor 浏览器的活跃使用:firefox.exe 成功连接到环回地址 127.0.0.1 的 9151 端口(标准 Tor 浏览器控制端口)。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "pc2"
| where InitiatingProcessAccountName == "emvm"
| where RemotePort in (9001, 9030, 9050, 9051, 9150, 9151)
| where InitiatingProcessFileName has_any ("tor", "firefox")
| where Timestamp == datetime("2026-03-28T16:48:56.8605748Z")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
### 时间线事件
- 2026-03-28T16:44:50Z — 用户 emvm 下载 Tor 便携安装程序。
- 2026-03-28T16:46:01Z — 进程创建:从下载文件夹执行 tor-browser-windows-x86_64-portable-15.0.8.exe(静默/便携安装)。
- 2026-03-28T16:48:01Z — 静默安装完成;核心二进制文件(tor.exe、firefox.exe)在桌面创建。
- 2026-03-28T16:48:45Z — Tor 浏览器正式启动(firefox.exe + tor.exe 生成)。
- 2026-03-28T16:48:56Z — 内部握手:firefox.exe 连接到 127.0.0.1:9151。
- 2026-03-28T16:49:58Z — 外部 Tor 电路:tor.exe 连接到远程 Tor 中继(端口 9001)。
- 2026-03-28T16:54:34Z — 大量子 firefox.exe 进程(活跃浏览/多标签页)。
- 2026-03-28T16:57:39Z — 在桌面上创建 tor-shopping-list.lnk。
### 总结
2026 年 3 月 28 日,用户 emvm 在工作站 pc2 上故意绕过了公司网络过滤和安全策略,安装并使用了 Tor 浏览器(版本 15.0.8 便携版)。活动使用了直接写入桌面的便携安装以规避常规检测。
证据证实了策略违规:成功建立活跃的 Tor 电路,并结合创建“购物清单”文件的行为,表明可能存在匿名浏览或暗网活动。这代表了内部威胁风险,需要立即采取管理措施和取证审查。
### 响应措施
已确认用户 emvm 在端点 pc2 上使用了 TOR。该设备已被隔离,并且已通知用户的直接主管。
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/EnriqueMiranda347/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言(KQL)
- Tor 浏览器
## 场景
管理层怀疑部分员工可能使用 TOR 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及连接到已知的 TOR 入口节点。此外,有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 的使用并分析与安全相关的事件,以缓解潜在风险。如果发现任何 TOR 的使用,需通知管理层。
### 高级别 TOR 相关 IoC 探测计划
- **检查 `DeviceFileEvents`** 是否存在任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 是否存在安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 是否存在通过已知 TOR 端口的传出连接迹象。
-
## 采取的步骤
### 1. 查询 `DeviceFileEvents` 表
查询包含字符串 “tor” 或 “firefox” 的文件。发现用户 **emvm** 下载了 Tor 安装程序。随后,多个与 Tor 相关的文件被创建/复制到用户的桌面,包括一个名为 `tor-shopping-list.lnk` 的文件,时间为 `2026-03-28T16:57:39.3853346Z`。
事件始于 `2026-03-28T16:44:50.9669942Z`。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "pc2"
| where FileName contains "tor" or FileName contains "firefox"
| where InitiatingProcessAccountName == "emvm"
| where Timestamp >= datetime(2026-03-28T16:44:50.9669942Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 查询 `DeviceProcessEvents` 表
搜索包含 “tor-browser-windows-x86_64-portable-15.0.8.exe” 的进程命令行。2026-03-28T16:46:01.4354348Z,用户 emvm 在设备 pc2 上从下载文件夹执行了该文件,触发了静默/便携安装。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "pc2"
| where AccountName == "emvm"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.8.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 查询 `DeviceProcessEvents` 表中的 TOR 浏览器执行
搜索用户 emvm 实际打开 Tor 浏览器的迹象。多次生成 firefox.exe(Tor)以及 tor.exe/tor.browser.exe。证据确认浏览器大约在 2026-03-28T16:48:45.593336Z 打开。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "pc2"
| where AccountName == "emvm"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 查询 `DeviceNetworkEvents` 表中的 TOR 网络连接
搜索已知 Tor 端口的连接。日志确认了 Tor 浏览器的活跃使用:firefox.exe 成功连接到环回地址 127.0.0.1 的 9151 端口(标准 Tor 浏览器控制端口)。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "pc2"
| where InitiatingProcessAccountName == "emvm"
| where RemotePort in (9001, 9030, 9050, 9051, 9150, 9151)
| where InitiatingProcessFileName has_any ("tor", "firefox")
| where Timestamp == datetime("2026-03-28T16:48:56.8605748Z")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
### 时间线事件
- 2026-03-28T16:44:50Z — 用户 emvm 下载 Tor 便携安装程序。
- 2026-03-28T16:46:01Z — 进程创建:从下载文件夹执行 tor-browser-windows-x86_64-portable-15.0.8.exe(静默/便携安装)。
- 2026-03-28T16:48:01Z — 静默安装完成;核心二进制文件(tor.exe、firefox.exe)在桌面创建。
- 2026-03-28T16:48:45Z — Tor 浏览器正式启动(firefox.exe + tor.exe 生成)。
- 2026-03-28T16:48:56Z — 内部握手:firefox.exe 连接到 127.0.0.1:9151。
- 2026-03-28T16:49:58Z — 外部 Tor 电路:tor.exe 连接到远程 Tor 中继(端口 9001)。
- 2026-03-28T16:54:34Z — 大量子 firefox.exe 进程(活跃浏览/多标签页)。
- 2026-03-28T16:57:39Z — 在桌面上创建 tor-shopping-list.lnk。
### 总结
2026 年 3 月 28 日,用户 emvm 在工作站 pc2 上故意绕过了公司网络过滤和安全策略,安装并使用了 Tor 浏览器(版本 15.0.8 便携版)。活动使用了直接写入桌面的便携安装以规避常规检测。
证据证实了策略违规:成功建立活跃的 Tor 电路,并结合创建“购物清单”文件的行为,表明可能存在匿名浏览或暗网活动。这代表了内部威胁风险,需要立即采取管理措施和取证审查。
### 响应措施
已确认用户 emvm 在端点 pc2 上使用了 TOR。该设备已被隔离,并且已通知用户的直接主管。标签:AMSI绕过, Azure, EDR, IOC, KQL, Kusto, Microsoft Defender, Tor, TOR出口节点, Windows 10, 企业安全, 加密流量, 匿名网络, 可疑行为, 威胁检测, 安全事件响应, 安全通报, 文件事件, 浏览器取证, 网络事件, 网络安全, 网络流量分析, 网络端口, 网络资产管理, 脆弱性评估, 进程事件, 违规访问, 隐私保护