OctavianAmechi/Threat-Hunting-Scenario-Tor-Octavian
GitHub: OctavianAmechi/Threat-Hunting-Scenario-Tor-Octavian
提供基于Microsoft Defender for Endpoint的TOR浏览器使用检测威胁狩猎场景,包含完整的KQL查询示例和事件响应流程。
Stars: 0 | Forks: 0
# 官方[网络靶场](http://joshmadakor.tech/cyber-range)项目
# 威胁狩猎报告:未经授权的TOR使用
- [场景创建](https://github.com/OctavianAmechi/Threat-Hunting-Scenario-Tor-Octavian/blob/main/Create%20Threat-Hunting-Scenario-tor-event-creation.md)
## 平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR平台:Microsoft Defender for Endpoint
- Kusto查询语言(KQL)
- Tor浏览器
## 场景
管理层怀疑一些员工可能正在使用TOR浏览器来绑过网络安全控制,因为最近的网络日志显示有异常的加密流量模式和已知的TOR入口节点连接。此外,有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何TOR使用情况并分析相关的安全事件以减轻潜在风险。如果发现任何TOR使用情况,需通知管理层。
### 高级别TOR相关IoC发现计划
- **检查`DeviceFileEvents`**中是否存在任何`tor(.exe)`或`firefox(.exe)`文件事件。
- **检查`DeviceProcessEvents`**中是否存在任何安装或使用的迹象。
- **检查`DeviceNetworkEvents`**中是否存在任何通过已知TOR端口的出站连接迹象。
## 步骤
### 1. 搜索`DeviceFileEvents`表
在DeviceFileEvents中搜索包含"tor"字符串的任何文件,发现用户"OctaviamAmechi"下载了TOR安装程序,导致许多TOR相关文件被复制到桌面,并创建了一个名为tor-shopping-list.txt的文件在桌面上。这些事件始于:
(2026年4月3日晚上11:07:14)
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "threat-hunt-lab"
| where FileName contains "tor"
| where InitiatingProcessAccountName == "octaviamamechi"
| where Timestamp >= datetime(Apr 3, 2026 11:07:14 PM)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account =InitiatingProcessAccountName
```
### 2. 搜索`DeviceProcessEvents`表
在DeviceProcessEvents表中搜索任何包含字符串"tor-browser-windows-x86_64-portable-15.0.8.exe"的ProcessCommandLine。根据返回的日志,2026年4月3日晚上11:11:00,"threat-hunt-lab"设备上的一名员工从下载文件夹运行了文件tor-browser-windows-x86_64-portable-15.0.8.exe,使用了触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-14.0.1.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 搜索`DeviceProcessEvents`表中的TOR浏览器执行
在DeviceProcessEvents表中搜索用户"OctaviamAmechi"实际打开TOR浏览器的任何迹象。有证据表明他们在2026年4月3日晚上11:29:54打开了它。之后还有多次firefox.exe(Tor)以及tor.exe被启动的情况。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 搜索`DeviceNetworkEvents`表中的TOR网络连接
在DeviceNetworkEvents表中搜索TOR浏览器使用任何已知TOR端口建立连接的迹象。2026年4月3日晚上11:12:57,设备threat-hunt-lab成功通过端口9030建立了到外部IP地址148.251.85.195的网络连接。连接由在用户账户octaviamamechi下运行的Tor可执行文件(tor.exe)发起。还有一些其他通过端口443连接到网站的连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "threat-hunt-lab"
| where InitiatingProcessAccountName != "system"
| where InitiatingProcessFileName in ("tor.exe", "firefox.exe")
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 按时间顺序的事件时间线
### 1. 文件下载 - TOR安装程序
- **时间戳:** `2026年4月3日晚上11:07:14`
- **事件:** 用户"octaviamamechi"下载了一个名为`tor-browser-windows-x86_64-portable-14.0.1.exe`的文件到下载文件夹。
- **操作:** 检测到文件下载。
- **文件路径:** `C:\Users\octaviamamechi\Downloads\tor-browser-windows-x86_64-portable-14.0.1.exe`
### 2. 进程执行 - TOR浏览器安装
- **时间戳:** `2026年4月3日晚上11:11:00`
- **事件:** 用户"octaviamamechi"以静默模式执行了文件`tor-browser-windows-x86_64-portable-14.0.1.exe`,启动了TOR浏览器的后台安装。
- **操作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-14.0.1.exe /S`
- **文件路径:** `C:\Users\octaviamamechi\Downloads\tor-browser-windows-x86_64-portable-14.0.1.exe`
### 3. 进程执行 - TOR浏览器启动
- **时间戳:** `2026年4月3日晚上11:29:54`
- **事件:** 用户"employee"打开了TOR浏览器。随后还创建了与TOR浏览器相关的其他进程,如`firefox.exe`和`tor.exe`,表明浏览器成功启动。
- **操作:** 检测到TOR浏览器相关可执行文件的进程创建。
- **文件路径:** `C:\Users\octaviamamechi\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe`
### 4. 网络连接 - TOR网络
- **时间戳:** `2026年4月3日晚上11:12:57`
- **事件:** 用户"octaviamamechi"使用`tor.exe`建立了到IP`176.198.159.33`端口`9001`的网络连接,确认了TOR浏览器的网络活动。
- **操作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `c:\users\octaviamamechi\desktop\tor browser\browser\torbrowser\tor\tor.exe`
### 5. 附加网络连接 - TOR浏览器活动
- **时间戳:**
- `2026年4月3日晚上11:11:50` - 连接到`194.164.169.85`端口`443`。
- `2026年4月3日晚上11:11:50` - 连接到本地`127.0.0.1`端口`9150`。
- **事件:** 建立了额外的TOR网络连接,表明用户"octaviamamechi"通过TOR浏览器持续活动。
- **操作:** 检测到多个成功连接。
### 6. 文件创建 - TOR购物清单
- **时间戳:** `2026年4月3日晚上11:38:30`
- **事件:** 用户"octaviamamechi"在桌面上创建了一个名为`tor-shopping-list.txt`的文件,可能表示与TOR浏览器活动相关的清单或笔记。
- **操作:** 检测到文件创建。
- **文件路径:** `C:\Users\octaviamamechi\Desktop\tor-shopping-list.txt`
## 摘要
"threat-hunt-lab"设备上的用户"octaviamamechi"启动并完成了TOR浏览器的安装。他们继续启动浏览器,在TOR网络内建立连接,并在桌面上创建了各种与TOR相关的文件,包括一个名为`tor-shopping-list.txt`的文件。这一系列活动表明该用户主动安装、配置并使用了TOR浏览器,可能是为了匿名浏览目的,并以"购物清单"文件的形式进行了可能的文档记录。
## 响应措施
在终端`threat-hunt-lab`上确认了用户`octaviamamechi`使用TOR。该设备已被隔离,并已通知该用户的直接经理。
# 威胁狩猎报告:未经授权的TOR使用
- [场景创建](https://github.com/OctavianAmechi/Threat-Hunting-Scenario-Tor-Octavian/blob/main/Create%20Threat-Hunting-Scenario-tor-event-creation.md)
## 平台和语言
- Windows 10 虚拟机(Microsoft Azure)
- EDR平台:Microsoft Defender for Endpoint
- Kusto查询语言(KQL)
- Tor浏览器
## 场景
管理层怀疑一些员工可能正在使用TOR浏览器来绑过网络安全控制,因为最近的网络日志显示有异常的加密流量模式和已知的TOR入口节点连接。此外,有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何TOR使用情况并分析相关的安全事件以减轻潜在风险。如果发现任何TOR使用情况,需通知管理层。
### 高级别TOR相关IoC发现计划
- **检查`DeviceFileEvents`**中是否存在任何`tor(.exe)`或`firefox(.exe)`文件事件。
- **检查`DeviceProcessEvents`**中是否存在任何安装或使用的迹象。
- **检查`DeviceNetworkEvents`**中是否存在任何通过已知TOR端口的出站连接迹象。
## 步骤
### 1. 搜索`DeviceFileEvents`表
在DeviceFileEvents中搜索包含"tor"字符串的任何文件,发现用户"OctaviamAmechi"下载了TOR安装程序,导致许多TOR相关文件被复制到桌面,并创建了一个名为tor-shopping-list.txt的文件在桌面上。这些事件始于:
(2026年4月3日晚上11:07:14)
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "threat-hunt-lab"
| where FileName contains "tor"
| where InitiatingProcessAccountName == "octaviamamechi"
| where Timestamp >= datetime(Apr 3, 2026 11:07:14 PM)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account =InitiatingProcessAccountName
```
### 2. 搜索`DeviceProcessEvents`表
在DeviceProcessEvents表中搜索任何包含字符串"tor-browser-windows-x86_64-portable-15.0.8.exe"的ProcessCommandLine。根据返回的日志,2026年4月3日晚上11:11:00,"threat-hunt-lab"设备上的一名员工从下载文件夹运行了文件tor-browser-windows-x86_64-portable-15.0.8.exe,使用了触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-14.0.1.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 搜索`DeviceProcessEvents`表中的TOR浏览器执行
在DeviceProcessEvents表中搜索用户"OctaviamAmechi"实际打开TOR浏览器的任何迹象。有证据表明他们在2026年4月3日晚上11:29:54打开了它。之后还有多次firefox.exe(Tor)以及tor.exe被启动的情况。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 搜索`DeviceNetworkEvents`表中的TOR网络连接
在DeviceNetworkEvents表中搜索TOR浏览器使用任何已知TOR端口建立连接的迹象。2026年4月3日晚上11:12:57,设备threat-hunt-lab成功通过端口9030建立了到外部IP地址148.251.85.195的网络连接。连接由在用户账户octaviamamechi下运行的Tor可执行文件(tor.exe)发起。还有一些其他通过端口443连接到网站的连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "threat-hunt-lab"
| where InitiatingProcessAccountName != "system"
| where InitiatingProcessFileName in ("tor.exe", "firefox.exe")
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 按时间顺序的事件时间线
### 1. 文件下载 - TOR安装程序
- **时间戳:** `2026年4月3日晚上11:07:14`
- **事件:** 用户"octaviamamechi"下载了一个名为`tor-browser-windows-x86_64-portable-14.0.1.exe`的文件到下载文件夹。
- **操作:** 检测到文件下载。
- **文件路径:** `C:\Users\octaviamamechi\Downloads\tor-browser-windows-x86_64-portable-14.0.1.exe`
### 2. 进程执行 - TOR浏览器安装
- **时间戳:** `2026年4月3日晚上11:11:00`
- **事件:** 用户"octaviamamechi"以静默模式执行了文件`tor-browser-windows-x86_64-portable-14.0.1.exe`,启动了TOR浏览器的后台安装。
- **操作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-14.0.1.exe /S`
- **文件路径:** `C:\Users\octaviamamechi\Downloads\tor-browser-windows-x86_64-portable-14.0.1.exe`
### 3. 进程执行 - TOR浏览器启动
- **时间戳:** `2026年4月3日晚上11:29:54`
- **事件:** 用户"employee"打开了TOR浏览器。随后还创建了与TOR浏览器相关的其他进程,如`firefox.exe`和`tor.exe`,表明浏览器成功启动。
- **操作:** 检测到TOR浏览器相关可执行文件的进程创建。
- **文件路径:** `C:\Users\octaviamamechi\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe`
### 4. 网络连接 - TOR网络
- **时间戳:** `2026年4月3日晚上11:12:57`
- **事件:** 用户"octaviamamechi"使用`tor.exe`建立了到IP`176.198.159.33`端口`9001`的网络连接,确认了TOR浏览器的网络活动。
- **操作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `c:\users\octaviamamechi\desktop\tor browser\browser\torbrowser\tor\tor.exe`
### 5. 附加网络连接 - TOR浏览器活动
- **时间戳:**
- `2026年4月3日晚上11:11:50` - 连接到`194.164.169.85`端口`443`。
- `2026年4月3日晚上11:11:50` - 连接到本地`127.0.0.1`端口`9150`。
- **事件:** 建立了额外的TOR网络连接,表明用户"octaviamamechi"通过TOR浏览器持续活动。
- **操作:** 检测到多个成功连接。
### 6. 文件创建 - TOR购物清单
- **时间戳:** `2026年4月3日晚上11:38:30`
- **事件:** 用户"octaviamamechi"在桌面上创建了一个名为`tor-shopping-list.txt`的文件,可能表示与TOR浏览器活动相关的清单或笔记。
- **操作:** 检测到文件创建。
- **文件路径:** `C:\Users\octaviamamechi\Desktop\tor-shopping-list.txt`
## 摘要
"threat-hunt-lab"设备上的用户"octaviamamechi"启动并完成了TOR浏览器的安装。他们继续启动浏览器,在TOR网络内建立连接,并在桌面上创建了各种与TOR相关的文件,包括一个名为`tor-shopping-list.txt`的文件。这一系列活动表明该用户主动安装、配置并使用了TOR浏览器,可能是为了匿名浏览目的,并以"购物清单"文件的形式进行了可能的文档记录。
## 响应措施
在终端`threat-hunt-lab`上确认了用户`octaviamamechi`使用TOR。该设备已被隔离,并已通知该用户的直接经理。标签:Atomic Red Team, Azure, Conpot, EDR, IoC检测, KQL, Kusto, Microsoft Defender for Endpoint, TOR检测, Windows安全, Windows 调试器, 匿名网络, 数据泄露检测, 端点检测与响应, 网络安全, 网络流量分析, 脆弱性评估, 脱壳工具, 隐私保护, 隐私保护绕过