niccosabella/threat-hunting-scenario-tor
GitHub: niccosabella/threat-hunting-scenario-tor
一个基于 MDE 和 KQL 的威胁狩猎场景模板,用于检测和分析未经授权的 TOR 使用。
Stars: 0 | Forks: 0
# 官方 [Cyber Range](http://joshmadakor.tech/cyber-range) 项目
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/niccosabella/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 11 虚拟机(Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言(KQL)
- Tor 浏览器
## 场景
管理层怀疑部分员工可能使用 TOR 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及与已知 TOR 入口节点的连接。此外,还有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 的使用并分析与安全相关的事件,以缓解潜在风险。如果发现任何 TOR 的使用,将通知管理层。
### TOR 相关 IoC 发现的高层级计划
- **检查 `DeviceFileEvents`**,查找任何包含 `tor(.exe)` 或 `firefox(.exe)` 的文件事件。
- **检查 `DeviceProcessEvents`**,查找安装或使用的任何迹象。
- **检查 `DeviceNetworkEvents`**,查找通过已知 TOR 端口发出的出站连接的任何迹象。
## 所采取的步骤
### 1. 查询 `DeviceFileEvents` 表
查询 DeviceFileEvent 表,查找任何文件名中包含字符串 “tor” 的文件,并发现看起来像用户 “niccosab” 下载了 TOR 安装程序,随后发生了一些导致许多与 TOR 相关文件被复制到桌面,并创建了一个名为 “tor shopping.txt” 的文件。这些事件开始于:2026-04-14T16:21:18.8969656Z。
**用于定位事件的查询:**
```
DeviceFileEvents
| where InitiatingProcessAccountName == "niccosab"
| where FileName contains "tor"
| where Timestamp >= datetime(2026-04-14T16:21:18.8969656Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 查询 `DeviceProcessEvents` 表
查询 DeviceProcessEvents 表,查找任何包含字符串 “tor-browser-windows-x86_64-portable-15.0.9.exe” 的进程命令行。根据返回的日志,在 2026 年 4 月 14 日下午 12:21:41,用户 “niccosab” 在 “nicco-threat-hu” 设备上的下载文件夹中运行了 tor-browser-windows-x86_64-portable-15.0.9.exe 文件,使用了一个触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName contains "nicco"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.9.exe"
| project Timestamp, DeviceName,AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 查询 `DeviceProcessEvents` 表以查找 TOR 浏览器执行
查询 DeviceProcessEvents 表,查找用户 “niccosab” 实际打开 TOR 浏览器的任何迹象。有证据表明他们在 2026-04-14T16:22:11.4988217Z 打开了它。随后还出现了多个 firefox.exe(TOR 浏览器)以及 tor.exe 的实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName contains "nicco"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName,AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 查询 `DeviceNetworkEvents` 表以查找 TOR 网络连接
查询 DeviceNetworkEvents 表,查找 TOR 浏览器用于建立连接的已知 TOR 端口使用迹象。在 2026-04-14T17:40:57.9895011Z,使用 “nicco-threat-hu” 设备的人成功建立了到远程 IP 地址 5.255.127.222 的端口 9001 的连接。该连接由位于路径 `c:\users\niccosab\desktop\tor browser\browser\torbrowser\tor\tor.exe` 的 tor.exe 进程发起。还有其他一些事件。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName contains "nicco"
| where InitiatingProcessAccountName != "system"
| where InitiatingProcessFileName in ("tor.exe", "firefox.exe")
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp
```
## 时间线事件
### 12:21:41 PM
**用户 niccosab 执行了 TOR 安装程序**
- 文件:`tor-browser-windows-x86_64-portable-15.0.9.exe`
- 位置:下载文件夹
- 行为:命令行表明是静默安装
- 来源:DeviceProcessEvents
**含义**
- 用户故意以最小提示或可见性的方式启动了安装程序。
### 12:21:18 PM 起
**初始 TOR 相关文件活动开始**
- 创建或复制了多个包含 “tor” 的文件
- 文件放置在桌面上
- 显著的工件:创建了 `tor shopping.txt` 文件
- 来源:DeviceFileEvents
**含义**
- 安装过程提取了文件,或用户手动移动了它们。
- 文本文件表明用户在安装后进行了交互。
### 12:22:11 PM
**确认 TOR 浏览器执行**
- 观察到的进程:
- `tor-browser.exe`
- `firefox.exe`(基于 TOR 的浏览器)
- `tor.exe`
- 来源:DeviceProcessEvents
**含义**
- 用户成功启动了 TOR 浏览器。
- TOR 运行时组件已正确启动。
### 12:22 PM – 5:40 PM
**持续的 TOR 进程活动**
- 反复生成:
- `tor.exe`
- `firefox.exe`
- 表明持续或重复的使用会话
**含义**
- TOR 保持活跃或被多次重新打开。
### 5:40:57 PM
**建立了出站 TOR 网络连接**
- 远程 IP:`5.255.127.222`
- 端口:`9001`(TOR 中继端口)
- 进程:`tor.exe`
- 路径:
`C:\Users\niccosab\Desktop\tor browser\Browser\TorBrowser\Tor\tor.exe`
- 来源:DeviceNetworkEvents
**含义**
- 设备通过中继节点连接到 TOR 网络。
- 端口 9001 确认了标准的 TOR 路由行为。
### 其他网络活动
**观察到的其他 TOR 相关连接**
- 端口:
- `9001`、`9030`(中继和目录)
- `9050`、`9150`(SOCKS 代理)
- `80`、`443`(通过 TOR 的 Web 流量)
**含义**
- 流量已成功通过 TOR 网络路由。
- 活动符合正常的 TOR 浏览行为。
## 总结
用户 **niccosab** 在 2026 年 4 月 14 日下载并执行了一个便携式的 TOR 浏览器安装程序。该安装程序使用了一个表明静默安装的命令行,从而减少了安装过程中的提示和可见性。安装后,用户手动与文件进行了交互。有证据表明,在桌面上创建了一个名为 `tor shopping.txt` 的文本文件。在运行安装程序约 30 秒后,TOR 浏览器成功启动。进程活动证实了核心组件(如 `tor.exe` 和基于 TOR 的 `firefox.exe` 浏览器)已启动并持续运行,表明有活跃的使用行为。
网络日志显示,该设备已建立到已知 TOR 中继基础设施的出站连接。确认连接到远程 IP 地址的端口 `9001`,该端口通常用于 TOR 中继通信。通过其他与标准 TOR 相关端口的连接进一步证实了流量通过了 TOR 网络。
## 采取的响应
已确认终端 nicco-threat-hu 上的用户 niccosab 使用了 TOR。该设备被隔离,并已通知用户的直接主管。
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/niccosabella/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 11 虚拟机(Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言(KQL)
- Tor 浏览器
## 场景
管理层怀疑部分员工可能使用 TOR 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及与已知 TOR 入口节点的连接。此外,还有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 的使用并分析与安全相关的事件,以缓解潜在风险。如果发现任何 TOR 的使用,将通知管理层。
### TOR 相关 IoC 发现的高层级计划
- **检查 `DeviceFileEvents`**,查找任何包含 `tor(.exe)` 或 `firefox(.exe)` 的文件事件。
- **检查 `DeviceProcessEvents`**,查找安装或使用的任何迹象。
- **检查 `DeviceNetworkEvents`**,查找通过已知 TOR 端口发出的出站连接的任何迹象。
## 所采取的步骤
### 1. 查询 `DeviceFileEvents` 表
查询 DeviceFileEvent 表,查找任何文件名中包含字符串 “tor” 的文件,并发现看起来像用户 “niccosab” 下载了 TOR 安装程序,随后发生了一些导致许多与 TOR 相关文件被复制到桌面,并创建了一个名为 “tor shopping.txt” 的文件。这些事件开始于:2026-04-14T16:21:18.8969656Z。
**用于定位事件的查询:**
```
DeviceFileEvents
| where InitiatingProcessAccountName == "niccosab"
| where FileName contains "tor"
| where Timestamp >= datetime(2026-04-14T16:21:18.8969656Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 查询 `DeviceProcessEvents` 表
查询 DeviceProcessEvents 表,查找任何包含字符串 “tor-browser-windows-x86_64-portable-15.0.9.exe” 的进程命令行。根据返回的日志,在 2026 年 4 月 14 日下午 12:21:41,用户 “niccosab” 在 “nicco-threat-hu” 设备上的下载文件夹中运行了 tor-browser-windows-x86_64-portable-15.0.9.exe 文件,使用了一个触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName contains "nicco"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.9.exe"
| project Timestamp, DeviceName,AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 查询 `DeviceProcessEvents` 表以查找 TOR 浏览器执行
查询 DeviceProcessEvents 表,查找用户 “niccosab” 实际打开 TOR 浏览器的任何迹象。有证据表明他们在 2026-04-14T16:22:11.4988217Z 打开了它。随后还出现了多个 firefox.exe(TOR 浏览器)以及 tor.exe 的实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName contains "nicco"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName,AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 查询 `DeviceNetworkEvents` 表以查找 TOR 网络连接
查询 DeviceNetworkEvents 表,查找 TOR 浏览器用于建立连接的已知 TOR 端口使用迹象。在 2026-04-14T17:40:57.9895011Z,使用 “nicco-threat-hu” 设备的人成功建立了到远程 IP 地址 5.255.127.222 的端口 9001 的连接。该连接由位于路径 `c:\users\niccosab\desktop\tor browser\browser\torbrowser\tor\tor.exe` 的 tor.exe 进程发起。还有其他一些事件。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName contains "nicco"
| where InitiatingProcessAccountName != "system"
| where InitiatingProcessFileName in ("tor.exe", "firefox.exe")
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp
```
## 时间线事件
### 12:21:41 PM
**用户 niccosab 执行了 TOR 安装程序**
- 文件:`tor-browser-windows-x86_64-portable-15.0.9.exe`
- 位置:下载文件夹
- 行为:命令行表明是静默安装
- 来源:DeviceProcessEvents
**含义**
- 用户故意以最小提示或可见性的方式启动了安装程序。
### 12:21:18 PM 起
**初始 TOR 相关文件活动开始**
- 创建或复制了多个包含 “tor” 的文件
- 文件放置在桌面上
- 显著的工件:创建了 `tor shopping.txt` 文件
- 来源:DeviceFileEvents
**含义**
- 安装过程提取了文件,或用户手动移动了它们。
- 文本文件表明用户在安装后进行了交互。
### 12:22:11 PM
**确认 TOR 浏览器执行**
- 观察到的进程:
- `tor-browser.exe`
- `firefox.exe`(基于 TOR 的浏览器)
- `tor.exe`
- 来源:DeviceProcessEvents
**含义**
- 用户成功启动了 TOR 浏览器。
- TOR 运行时组件已正确启动。
### 12:22 PM – 5:40 PM
**持续的 TOR 进程活动**
- 反复生成:
- `tor.exe`
- `firefox.exe`
- 表明持续或重复的使用会话
**含义**
- TOR 保持活跃或被多次重新打开。
### 5:40:57 PM
**建立了出站 TOR 网络连接**
- 远程 IP:`5.255.127.222`
- 端口:`9001`(TOR 中继端口)
- 进程:`tor.exe`
- 路径:
`C:\Users\niccosab\Desktop\tor browser\Browser\TorBrowser\Tor\tor.exe`
- 来源:DeviceNetworkEvents
**含义**
- 设备通过中继节点连接到 TOR 网络。
- 端口 9001 确认了标准的 TOR 路由行为。
### 其他网络活动
**观察到的其他 TOR 相关连接**
- 端口:
- `9001`、`9030`(中继和目录)
- `9050`、`9150`(SOCKS 代理)
- `80`、`443`(通过 TOR 的 Web 流量)
**含义**
- 流量已成功通过 TOR 网络路由。
- 活动符合正常的 TOR 浏览行为。
## 总结
用户 **niccosab** 在 2026 年 4 月 14 日下载并执行了一个便携式的 TOR 浏览器安装程序。该安装程序使用了一个表明静默安装的命令行,从而减少了安装过程中的提示和可见性。安装后,用户手动与文件进行了交互。有证据表明,在桌面上创建了一个名为 `tor shopping.txt` 的文本文件。在运行安装程序约 30 秒后,TOR 浏览器成功启动。进程活动证实了核心组件(如 `tor.exe` 和基于 TOR 的 `firefox.exe` 浏览器)已启动并持续运行,表明有活跃的使用行为。
网络日志显示,该设备已建立到已知 TOR 中继基础设施的出站连接。确认连接到远程 IP 地址的端口 `9001`,该端口通常用于 TOR 中继通信。通过其他与标准 TOR 相关端口的连接进一步证实了流量通过了 TOR 网络。
## 采取的响应
已确认终端 nicco-threat-hu 上的用户 niccosab 使用了 TOR。该设备被隔离,并已通知用户的直接主管。标签:Azure, BurpSuite集成, DNS 解析, EDR, IOC, Kusto KQL, Microsoft Defender, TOR, Windows 11, 加密流量, 匿名浏览, 浏览器取证, 渗透测试场景, 端点检测, 网络安全, 网络安全审计, 脆弱性评估, 违规访问检测, 隐私保护