mrabousakho/Threat-Hunting-Scenario-Tor-Browser-Usage..-
GitHub: mrabousakho/Threat-Hunting-Scenario-Tor-Browser-Usage..-
一个基于Microsoft Defender for Endpoint的威胁狩猎实训项目,展示如何通过KQL查询检测企业环境中未授权的Tor浏览器安装和使用行为。
Stars: 0 | Forks: 0
# 官方[网络靶场](http://joshmadakor.tech/cyber-range)项目
# 威胁狩猎报告:未授权的TOR使用
- [场景创建](https://github.com/mrabousakho/Threat-Hunting-Scenario-Tor-Browser-Usage..-/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR平台:Microsoft Defender for Endpoint
- Kusto查询语言(KQL)
- Tor浏览器
## 威胁狩猎报告(未授权TOR使用)
检测工作站上未授权的TOR浏览器安装和使用:"buakar-threat-hunting"
## 场景:
管理层怀疑一些员工可能正在使用TOR浏览器来绑过网络安全控制,因为最近的网络日志显示异常的加密流量模式和已知TOR入口节点的连接。此外,有匿名报告称员工在工作时间讨论访问受限网站的方法。目标是检测任何TOR使用情况并分析相关的安全事件以减轻潜在风险。如果发现任何TOR使用,请通知管理层。
## 高层次TOR相关IoC发现计划:
1. 检查DeviceFileEvents中是否存在tor(.exe)或firefox(.exe)文件事件
2. 检查DeviceProcessEvents中是否有任何安装或使用的迹象
3. 检查DeviceNetworkEvents中是否有任何通过已知TOR端口的出站连接迹象
## 执行的步骤
在**DeviceFileEvent**中搜索包含"tor"字符串的任何文件,发现员工"buakar"下载了TOR安装程序,做了一些操作导致许多TOR相关文件被复制到桌面,并创建了一个名为tor-shopping-list.txt的文件。这些事件始于2026-03-30T02:35:22.1272782Z。
用于定位事件的查询:
**DeviceFileEvents**
| where DeviceName == "buakar-threat-h"
| where InitiatingProcessAccountName == "buakar"
| where FileName startswith "tor"
| where Timestamp >= datetime(2026-03-30T02:35:22.1272782Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FolderPath, SHA256, Account = InitiatingProcessAccountName, FileName
在**DeviceProcessEvents**表中搜索任何包含字符串`tor-browser-windows-x86_64-portable-15.0.8.exe`的ProcessCommandLine。根据日志返回
`在此时日期`2026年3月29日晚上9:39:39
`员工姓名`
`Buakar在buakar-threat-hunt设备上`
从官方网站下载了Tor Browser安装程序,启动了匿名化工具的部署。
**DeviceProcessEvents**
| where DeviceName == "buakar-threat-h"
| where AccountName =="buakar"
| where ProcessCommandLine contains "tor.exe"
| project DeviceName, AccountName, ActionType, FileName, ProcessCommandLine, FolderPath, InitiatingProcessAccountName
在DeviceProcessEvent表中搜索任何表明用户员工buakar实际打开浏览器的迹象。有证据表明他们在2026年3月30日凌晨12:28:48打开了它。
还有其他firefox.exe和tor.exe的实例。
用于定位事件的查询:
**DeviceProcessEvents**
| where DeviceName == "buakar-threat-h"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| where AccountName =="buakar"
| where ProcessCommandLine contains "tor.exe"
| project Timestamp, AccountName, ActionType, FileName, ProcessCommandLine, FolderPath
搜索DeviceNetworkEvent以查找任何表明tor浏览器使用已知tor端口号建立连接的迹象。
在2026年3月30日凌晨12:30左右,通过Guacamole RDP建立了远程会话,源IP:10.0.8.9用户:buakar端口9001。还有其他几个连接。
用于定位事件的查询:
**DeviceNetworkEvents**
| where DeviceName == "buakar-threat-h"
| where InitiatingProcessAccountName !="system"
| where InitiatingProcessFileName == "tor.exe"
| where RemotePort in("9001", "9030", "9040", "9050", "9851", "9150")
| where isnotempty(RemoteIP)
| project Timestamp, IsInitiatingProcessRemoteSession, DeviceName, InitiatingProcessAccountName, RemoteIP, RemotePort
initiatingProcessRemoteSession中的1表示进程已执行。我们还看到会话的远程IP。远程端口9001与tor相关联。带有tor的Firefox也用于通过端口443和8080进行正常浏览。但我过滤掉这些以专注于tor端口建立的连接。
## 时间顺序事件
阶段1:工具获取(初始访问/准备)
2026年3月29日晚上9:39:39
* 用户`buakar`下载了Tor Browser安装程序:
* 文件:`tor-browser-windows-x86_64-portable-15.0.8.exe`
* 来源:`https://dist.torproject.org/...`
* 位置:`C:\Users\employee\Download\`
* 由以下程序启动:
* `explorer.exe`(用户驱动的下载)
## 阶段2:远程会话活动开始
**📅** 2026年3月30日凌晨12:19左右
* 通过Guacamole RDP建立了远程会话
* 源IP:`10.0.8.9`
* 用户:`buakar`
## 阶段3:静默安装(防御规避)
**📅** 2026年3月30日凌晨12:24:49
* Tor Browser安装程序执行:
tor-browser-windows-x86_64-portable-15.0.8.exe /S
* 父进程:
* `cmd.exe`
## 阶段4:安装工件创建
**📅** 2026年3月30日凌晨12:25:23
* 创建了多个Tor文件:
* `tor.txt`
* `Tor-Launcher.txt`
* 安装在:
C:\\Users\\buakar\\Desktop\\Tor Browser\\
## 阶段5:Tor Browser执行
**📅** 2026年3月30日凌晨12:28:48
* `firefox.exe`(Tor Browser)启动
## 阶段6:Tor服务初始化
**📅** 2026年3月30日凌晨12:28:52
* `tor.exe`进程启动,完整配置:
* SOCKS代理:`127.0.0.1:9150`
* 控制端口:`127.0.0.1:9151`
* `DisableNetwork = 1`
## 阶段7:浏览器子进程活动
**📅** 2026年3月30日凌晨12:28:57
* 产生了额外的`firefox.exe`进程(浏览器内容进程)
## 阶段8:内部代理通信(Tor活动)
**📅** 2026年3月30日凌晨12:28:31
* 网络事件:
* 源:`127.0.0.1`
* 目标:`127.0.0.1`
* 进程:`tor.exe`
## 阶段9:活动后工件创建
**📅** 2026年3月30日凌晨2:18:40
* 创建的文件:
* `tor-shopping-list.txt`
* 创建方式:`notepad.exe`
* 在远程会话期间
## 最终威胁解读
这是一个**完整且有意的操作序列**,而非意外:
### **观察到的行为:**
* 工具下载(Tor Browser)
* 通过RDP进行远程访问
* 静默安装(`/S`)
* Tor Browser执行
* 匿名化代理初始化
* 主动用户交互
## MITRE ATT&CK映射
* T1105 – 入口工具传输(TOR下载)
* T1059 – 命令执行(cmd.exe静默安装)
* T1090.003 – 多跳代理(TOR)
* T1021.001 – 远程服务(RDP)
* T1071 – 应用层协议(潜在的TOR流量)
## 总结
2026年3月29日晚上9:39,用户**"buakar"**从官方网站下载了Tor Browser安装程序,启动了匿名化工具的部署。2026年3月30日凌晨12:19左右,通过**Guacamole RDP(10.0.8.9)**建立了远程会话,之后使用cmd.exe的/S标志静默了安装程序,实现了隐蔽部署。几分钟内,安装工件确认成功设置,随后执行了Tor Browser(firefox.exe)及其底层服务(tor.exe),建立了本地SOCKS代理用于匿名通信,如成功的环回网络活动(127.0.0.1)所示。凌晨2:18,用户在同一个远程会话期间创建了一个文件(tor-shopping-list.txt),表明持续的手动交互。此序列反映了远程访问、隐蔽安装和匿名化功能激活的刻意模式,符合**内部人员滥用和潜在的防御规避**,并代表**需要进一步调查的高风险安全事件**。
## 采取的响应
在端点buakar-threat-hunt上确认了TOR使用。该设备已被隔离,并已通知用户的直接经理。
# 威胁狩猎报告:未授权的TOR使用
- [场景创建](https://github.com/mrabousakho/Threat-Hunting-Scenario-Tor-Browser-Usage..-/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR平台:Microsoft Defender for Endpoint
- Kusto查询语言(KQL)
- Tor浏览器
## 威胁狩猎报告(未授权TOR使用)
检测工作站上未授权的TOR浏览器安装和使用:"buakar-threat-hunting"
## 场景:
管理层怀疑一些员工可能正在使用TOR浏览器来绑过网络安全控制,因为最近的网络日志显示异常的加密流量模式和已知TOR入口节点的连接。此外,有匿名报告称员工在工作时间讨论访问受限网站的方法。目标是检测任何TOR使用情况并分析相关的安全事件以减轻潜在风险。如果发现任何TOR使用,请通知管理层。
## 高层次TOR相关IoC发现计划:
1. 检查DeviceFileEvents中是否存在tor(.exe)或firefox(.exe)文件事件
2. 检查DeviceProcessEvents中是否有任何安装或使用的迹象
3. 检查DeviceNetworkEvents中是否有任何通过已知TOR端口的出站连接迹象
## 执行的步骤
在**DeviceFileEvent**中搜索包含"tor"字符串的任何文件,发现员工"buakar"下载了TOR安装程序,做了一些操作导致许多TOR相关文件被复制到桌面,并创建了一个名为tor-shopping-list.txt的文件。这些事件始于2026-03-30T02:35:22.1272782Z。
用于定位事件的查询:
**DeviceFileEvents**
| where DeviceName == "buakar-threat-h"
| where InitiatingProcessAccountName == "buakar"
| where FileName startswith "tor"
| where Timestamp >= datetime(2026-03-30T02:35:22.1272782Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FolderPath, SHA256, Account = InitiatingProcessAccountName, FileName
在**DeviceProcessEvents**表中搜索任何包含字符串`tor-browser-windows-x86_64-portable-15.0.8.exe`的ProcessCommandLine。根据日志返回
`在此时日期`2026年3月29日晚上9:39:39
`员工姓名`
`Buakar在buakar-threat-hunt设备上`
从官方网站下载了Tor Browser安装程序,启动了匿名化工具的部署。
**DeviceProcessEvents**
| where DeviceName == "buakar-threat-h"
| where AccountName =="buakar"
| where ProcessCommandLine contains "tor.exe"
| project DeviceName, AccountName, ActionType, FileName, ProcessCommandLine, FolderPath, InitiatingProcessAccountName
在DeviceProcessEvent表中搜索任何表明用户员工buakar实际打开浏览器的迹象。有证据表明他们在2026年3月30日凌晨12:28:48打开了它。
还有其他firefox.exe和tor.exe的实例。
用于定位事件的查询:
**DeviceProcessEvents**
| where DeviceName == "buakar-threat-h"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| where AccountName =="buakar"
| where ProcessCommandLine contains "tor.exe"
| project Timestamp, AccountName, ActionType, FileName, ProcessCommandLine, FolderPath
搜索DeviceNetworkEvent以查找任何表明tor浏览器使用已知tor端口号建立连接的迹象。
在2026年3月30日凌晨12:30左右,通过Guacamole RDP建立了远程会话,源IP:10.0.8.9用户:buakar端口9001。还有其他几个连接。
用于定位事件的查询:
**DeviceNetworkEvents**
| where DeviceName == "buakar-threat-h"
| where InitiatingProcessAccountName !="system"
| where InitiatingProcessFileName == "tor.exe"
| where RemotePort in("9001", "9030", "9040", "9050", "9851", "9150")
| where isnotempty(RemoteIP)
| project Timestamp, IsInitiatingProcessRemoteSession, DeviceName, InitiatingProcessAccountName, RemoteIP, RemotePort
initiatingProcessRemoteSession中的1表示进程已执行。我们还看到会话的远程IP。远程端口9001与tor相关联。带有tor的Firefox也用于通过端口443和8080进行正常浏览。但我过滤掉这些以专注于tor端口建立的连接。
## 时间顺序事件
阶段1:工具获取(初始访问/准备)
2026年3月29日晚上9:39:39
* 用户`buakar`下载了Tor Browser安装程序:
* 文件:`tor-browser-windows-x86_64-portable-15.0.8.exe`
* 来源:`https://dist.torproject.org/...`
* 位置:`C:\Users\employee\Download\`
* 由以下程序启动:
* `explorer.exe`(用户驱动的下载)
## 阶段2:远程会话活动开始
**📅** 2026年3月30日凌晨12:19左右
* 通过Guacamole RDP建立了远程会话
* 源IP:`10.0.8.9`
* 用户:`buakar`
## 阶段3:静默安装(防御规避)
**📅** 2026年3月30日凌晨12:24:49
* Tor Browser安装程序执行:
tor-browser-windows-x86_64-portable-15.0.8.exe /S
* 父进程:
* `cmd.exe`
## 阶段4:安装工件创建
**📅** 2026年3月30日凌晨12:25:23
* 创建了多个Tor文件:
* `tor.txt`
* `Tor-Launcher.txt`
* 安装在:
C:\\Users\\buakar\\Desktop\\Tor Browser\\
## 阶段5:Tor Browser执行
**📅** 2026年3月30日凌晨12:28:48
* `firefox.exe`(Tor Browser)启动
## 阶段6:Tor服务初始化
**📅** 2026年3月30日凌晨12:28:52
* `tor.exe`进程启动,完整配置:
* SOCKS代理:`127.0.0.1:9150`
* 控制端口:`127.0.0.1:9151`
* `DisableNetwork = 1`
## 阶段7:浏览器子进程活动
**📅** 2026年3月30日凌晨12:28:57
* 产生了额外的`firefox.exe`进程(浏览器内容进程)
## 阶段8:内部代理通信(Tor活动)
**📅** 2026年3月30日凌晨12:28:31
* 网络事件:
* 源:`127.0.0.1`
* 目标:`127.0.0.1`
* 进程:`tor.exe`
## 阶段9:活动后工件创建
**📅** 2026年3月30日凌晨2:18:40
* 创建的文件:
* `tor-shopping-list.txt`
* 创建方式:`notepad.exe`
* 在远程会话期间
## 最终威胁解读
这是一个**完整且有意的操作序列**,而非意外:
### **观察到的行为:**
* 工具下载(Tor Browser)
* 通过RDP进行远程访问
* 静默安装(`/S`)
* Tor Browser执行
* 匿名化代理初始化
* 主动用户交互
## MITRE ATT&CK映射
* T1105 – 入口工具传输(TOR下载)
* T1059 – 命令执行(cmd.exe静默安装)
* T1090.003 – 多跳代理(TOR)
* T1021.001 – 远程服务(RDP)
* T1071 – 应用层协议(潜在的TOR流量)
## 总结
2026年3月29日晚上9:39,用户**"buakar"**从官方网站下载了Tor Browser安装程序,启动了匿名化工具的部署。2026年3月30日凌晨12:19左右,通过**Guacamole RDP(10.0.8.9)**建立了远程会话,之后使用cmd.exe的/S标志静默了安装程序,实现了隐蔽部署。几分钟内,安装工件确认成功设置,随后执行了Tor Browser(firefox.exe)及其底层服务(tor.exe),建立了本地SOCKS代理用于匿名通信,如成功的环回网络活动(127.0.0.1)所示。凌晨2:18,用户在同一个远程会话期间创建了一个文件(tor-shopping-list.txt),表明持续的手动交互。此序列反映了远程访问、隐蔽安装和匿名化功能激活的刻意模式,符合**内部人员滥用和潜在的防御规避**,并代表**需要进一步调查的高风险安全事件**。
## 采取的响应
在端点buakar-threat-hunt上确认了TOR使用。该设备已被隔离,并已通知用户的直接经理。标签:Azure虚拟机, DeviceFileEvents, DeviceNetworkEvents, DeviceProcessEvents, EDR, IoC检测, KQL, Kusto, Microsoft Defender for Endpoint, TOR浏览器, Windows 调试器, 加密流量分析, 匿名网络检测, 安全运营, 扫描框架, 洋葱网络, 端点检测与响应, 网络信息收集, 网络安全, 脆弱性评估, 脱壳工具, 隐私保护, 隐私保护工具滥用