MalikS-Github/threat-hunting-scenario-tor

GitHub: MalikS-Github/threat-hunting-scenario-tor

一份基于 Microsoft Defender for Endpoint 与 KQL 的威胁狩猎报告,演示如何检测终端上未经授权的 Tor 使用。

Stars: 0 | Forks: 0

Tor Logo with the onion and a crosshair on it # 威胁狩猎报告:未经授权的 TOR 使用 - [场景创建](https://github.com/MalikS-Github/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md) ## 所利用的平台和语言 - Windows 10 虚拟机(Microsoft Azure) - EDR 平台:Microsoft Defender for Endpoint - Kusto 查询语言(KQL) - Tor 浏览器 ## 场景描述 管理层怀疑部分员工可能使用 TOR 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及与已知 TOR 入口节点的连接。此外,还有匿名举报称员工在工作时间讨论访问受限站点的方法。目标是检测任何 TOR 的使用并分析与安全相关的事件,以缓解潜在风险。如果发现任何 TOR 的使用,需通知管理层。 ### TOR 相关 IoC 发现的高级计划 - **检查 `DeviceFileEvents`**,查找任何包含 `tor(.exe)` 或 `firefox(.exe)` 的文件事件。 - **检查 `DeviceProcessEvents`**,查找安装或使用的任何迹象。 - **检查 `DeviceNetworkEvents`**,查找通过已知 TOR 端口发起的出站连接的任何迹象。 ## 执行步骤 ### 1. 查询 `DeviceFileEvents` 表 查询 `DeviceFileEvents` 表,查找包含字符串 “tor” 的任意文件,并发现类似以下内容:用户 “malik” 下载了 TOR 安装程序,随后桌面上出现了许多与 TOR 相关的文件,并生成了一个名为 “tor-shopping-list.txt” 的文件。这些事件开始于:2026-04-12T23:38:03.8380496Z。 **用于定位事件的查询:** ``` DeviceFileEvents | where DeviceName == "malik-vm-threat" | where InitiatingProcessAccountName == "malik" | where FileName contains "tor" | where Timestamp >= datetime(2026-04-12T23:38:03.8380496Z) | order by Timestamp desc | project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName ``` image ### 2. 查询 `DeviceProcessEvents` 表 查询 `DeviceProcessEvents` 表,查找包含字符串 “tor-browser-windows-x86_64-portable-15.0.9.exe” 的进程命令行。根据返回的日志,在 2026 年 4 月 12 日晚上 7:39 左右,虚拟机中名为 “malik” 的用户直接从其下载文件夹下载了名为 tor-browser-windows-x86_64-portable-15.0.9.exe 的文件。 不久之后,该文件被执行,意味着用户在系统上启动了该程序。 该文件是 Tor 浏览器的便携版本,是一款旨在让用户通过将流量路由至多个加密服务器来匿名浏览互联网的工具,使其活动难以被追踪或识别真实位置。 由于这是一个便携可执行文件,因此无需安装即可立即运行,这在企业环境中既方便又难以跟踪或控制。 . **用于定位事件的查询:** ``` DeviceProcessEvents | where DeviceName == "malik-vm-threat" | where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.9.exe" | project Timestamp, DeviceName, AccountName, FileName, FolderPath, SHA256, ProcessCommandLine ``` image ### 3. 查询 `DeviceProcessEvents` 表以查找 TOR 浏览器执行 查询 `DeviceProcessEvents` 表,查找用户 “malik” 实际打开 TOR 浏览器的任何迹象。有证据表明他们在 2026-04-12T23:40:33.0505199Z 打开了它。随后还出现了多个 firefox.exe(Tor)以及 tor.exe 的实例。 **用于定位事件的查询:** ``` DeviceProcessEvents | where DeviceName == "malik-vm-threat" | where FileName has_any ("tor-browser-windows-x86_64-portable-.exe", "Start Tor Browser.exe", "firefox.exe", "tor.exe") | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine | order by Timestamp desc ``` image ### 4. 查询 `DeviceNetworkEvents` 表以查找 TOR 网络连接 查询 `DeviceNetworkEvents` 表,查找 TOR 浏览器用于建立任何已知 TOR 端口连接的迹象。 在 2026 年 4 月 12 日晚上 7:40 左右,虚拟机中名为 “malik” 的用户通过 tor.exe(属于 Tor 浏览器)发起了一次成功的网络连接。 该系统连接到了外部 IP 地址 195.218.16.136,端口为 9001,这是一个通常与 Tor 中继通信相关联的端口。这表明 Tor 应用程序正在主动与 Tor 网络通信。 该进程起源于用户桌面上的一个目录,其中安装了 Tor 浏览器,这证实该活动是由本地执行的 Tor 实例产生的,而非系统进程。 还建立了多个通过端口 443 的连接。 **用于定位事件的查询:** ``` DeviceNetworkEvents | where DeviceName == "malik-vm-threat" | where InitiatingProcessAccountName != "system" | where RemotePort in ("9050","9150","9001","9030","9040","9051","443","80") | project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, InitiatingProcessFileName, InitiatingProcessFolderPath | order by Timestamp desc ``` image ## 时间线事件按时间顺序排列 # 威胁狩猎报告:未经授权的 TOR 浏览器使用 ## 执行摘要 2026 年 4 月 12 日,在设备 **malik-vm-threat** 上检测到可疑网络活动后开展了一次威胁狩猎。调查确认用户 **malik** 下载、安装并使用了 TOR 浏览器,以建立与外部中继节点的匿名连接。在此会话期间,用户创建了一个名为 `tor-shopping-list.txt` 的文档,表明其有意使用该软件完成特定任务。 ## 事件的详细时间线 ### 1. 文件下载 — TOR 安装程序 * **时间戳:** `2026-04-12T19:38:03.8380496Z` * **事件:** 用户 “malik” 将文件 `tor-browser-windows-x86_64-portable-15.0.9.exe` 下载至下载文件夹。 * **操作:** 检测到文件下载。 * **文件路径:** `C:\Users\malik\Downloads\tor-browser-windows-x86_64-portable-15.0.9.exe` ### 2. 进程执行 — TOR 浏览器安装 * **时间戳:** `2026-04-12T19:39:51.4484567Z` * **事件:** 用户 “malik” 以静默模式执行文件 `tor-browser-windows-x86_64-portable-15.0.9.exe`,启动 TOR 浏览器的后台提取与安装。 * **操作:** 检测到进程创建。 * **命令:** `tor-browser-windows-x86_64-portable-15.0.9.exe /S` * **文件路径:** `C:\Users\malik\Downloads\tor-browser-windows-x86_64-portable-15.0.9.exe` ### 3. 进程执行 — 启动 TOR 浏览器 * **时间戳:** `2026-04-12T19:40:10.6357935Z` * **事件:** 用户 “malik” 打开了 TOR 浏览器。随后创建了与 TOR 浏览器相关的进程,如 `firefox.exe` 和 `tor.exe`,表明浏览器已成功启动。 * **操作:** 检测到与 TOR 浏览器相关的可执行文件进程创建。 * **文件路径:** `C:\Users\malik\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` ### 4. 网络连接 — TOR 网络 * **时间戳:** `2026-04-12T19:40:31.1246358Z` * **事件:** 用户 “malik” 使用 `tor.exe` 在端口 `9001` 上与 IP `195.218.16.136` 建立了成功的网络连接,确认了 TOR 浏览器的网络活动。 * **操作:** 连接成功。 * **进程:** `tor.exe` * **文件路径:** `C:\Users\malik\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` ### 5. 附加网络连接 — TOR 浏览器活动 * **时间戳:** * `2026-04-12T19:40:34Z` — 连接到外部 IP 的 443 端口。 * `2026-04-12T19:40:36Z` — 本地连接到 `127.0.0.1` 的 9150 端口。 * **事件:** 建立了额外的 TOR 网络连接,表明用户 “malik” 通过 TOR 浏览器持续活动。 * **操作:** 检测到多个成功连接。 ### 6. 文件创建 — TOR 购物清单 * **时间戳:** `2026-04-12T19:48:06.7259964Z` * **事件:** 用户 “malik” 在桌面上创建了名为 `tor-shopping-list.txt` 的文件,可能表明其使用 TOR 浏览器进行与研究或采购相关的记录。 * **操作:** 检测到文件创建。 * **文件路径:** `C:\Users\malik\Desktop\tor-shopping-list.txt` ## 总结 *在 2026 年 4 月 12 日晚上大约 10 分钟的时间窗口内,用户 malik 成功绕过了标准浏览协议,下载并运行了便携版 TOR 浏览器。日志清楚地显示了从下载安装程序到以静默模式执行,再到浏览器建立与 TOR 中继节点(195.218.16.136)的已验证连接的完整过程。在此次活动之后立即创建了一个“购物清单”文件,这表明用户可能利用 TOR 的匿名性来研究或协助完成特定采购任务,并在完成后将笔记直接保存到桌面。* ## 采取的响应 已确认在端点 `threat-hunt-lab` 上由用户 `employee` 使用了 TOR。该设备已被隔离,并且已通知用户的直接主管。
标签:CIDR扫描, EDR, KQL, Kusto 查询语言, Microsoft Defender for Endpoint, TOR, Windows 10, Windows 调试器, 加密流量, 匿名报告, 可疑进程, 可视化分析, 恶意行为检测, 数据库接管, 文件事件监控, 洋葱路由, 网络匿名, 网络端口分析, 网络绕过, 网络连接分析, 脆弱性评估, 访问控制绕过