robertanaele/Threat-hunting-scenario-tor
GitHub: robertanaele/Threat-hunting-scenario-tor
一份基于 MDE 事件数据的 TOR 浏览器威胁狩猎报告,演示如何检测未经授权的匿名网络使用。
Stars: 0 | Forks: 0
# 威胁狩猎场景 Tor
# 威胁狩猎报告:未经授权的 TOR 使用(win-client-01)
- [场景创建](https://github.com/robertanaele/Threat-hunting-scenario-tor/blob/main/Threat-hunting-scenario-creation)
## 所利用的平台与语言
- Windows 10 虚拟机(Microsoft Azure)
- Microsoft Defender for Endpoint(EDR)
- Kusto 查询语言(KQL)
- TOR 浏览器(可移植可执行文件分析)
## 场景说明
管理层怀疑终端 **win-client-01** 存在未经授权的 TOR 浏览器使用行为,原因是观察到异常的加密出站流量以及疑似连接到匿名化基础设施。本调查的目标是确定是否安装了 TOR 浏览器、识别相关的网络活动,并重建用户行为的时间线以进行风险评估。
## 高级 TOR 相关 IoC 探测计划
- 查询 `DeviceFileEvents` 表以查找 TOR 相关可执行文件或工件。
- 查询 `DeviceProcessEvents` 表以查找安装、执行和浏览器启动活动。
- 查询 `DeviceNetworkEvents` 表以查找出站 TOR 相关流量(已知端口和中继行为)。
- 将进程执行与网络活动和文件系统更改相关联。
# 所采取的步骤
## 1. 查询 `DeviceFileEvents` 表
在 **win-client-01** 上针对用户 **jameslee** 搜索包含字符串 **"tor"** 的文件。
### 发现
- 触发了 TOR 相关安装器的文件创建与提取活动。
- 多个 TOR 相关文件被复制到桌面。
- 创建了一个名为 **`tor-shipping-list.txt`** 的文件,时间为:
- **时间戳:** `2026-04-13T01:08:15Z`
### 使用的查询
```
DeviceFileEvents
| where DeviceName == "win-client-01"
| where InitiatingProcessAccountName == "jameslee"
| where FileName contains "tor"
| where Timestamp >= datetime(2026-04-13T01:08:15Z)
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
| order by Timestamp desc
```
## 2. 查询 `DeviceProcessEvents` 表(静默安装)
搜索以下内容的执行:
`tor-browser-windows-x86_64-portable-15.0.9.exe /S`
### 发现
- 用户 **jameslee** 以静默模式执行了 TOR 安装器。
- 安装过程没有可见的用户界面或提示。
- **时间戳:** `2026-04-13T01:08:15Z`
### 使用的查询
```
DeviceProcessEvents
| where DeviceName == "win-client-01"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.9.exe /S"
| project Timestamp, DeviceName, ActionType, FileName, ProcessCommandLine
```
### 证据截图
## 3. 搜索 TOR 浏览器执行
搜索表明 TOR 浏览器启动活动的进程执行。
### 发现
- TOR 浏览器已在以下时间启动:
- **时间戳:** `2026-04-12T21:14:05Z`
- 观察到的进程:
- `firefox.exe`
- `tor.exe`
### 解释
- 确认 TOR 浏览器已在终端上成功执行。
### 使用的查询
```
DeviceProcessEvents
| where DeviceName == "win-client-01"
| where ProcessCommandLine has_any ("tor.exe", "firefox.exe")
| project Timestamp, DeviceName, AccountName, ActionType, ProcessCommandLine
| order by Timestamp desc
```
### 证据截图
#### TOR 浏览器进程活动概览
#### TOR 浏览器进程详情
## 4. 查询 `DeviceNetworkEvents` 表(TOR 网络流量)
搜索与 TOR 相关进程关联的出站流量。
### 发现
- **时间戳:** `2026-04-12T21:15:06Z`
- **远程 IP:** `69.12.83.97`
- **远程端口:** `9001`
- **进程:** `tor.exe`
- 观察到通过端口 **443** 的额外加密流量
### 解释
- 确认主动参与 TOR 网络中继通信。
### 使用的查询
```
DeviceNetworkEvents
| where DeviceName == "win-client-01"
| where InitiatingProcessFileName in~ ("tor.exe", "firefox.exe")
| where RemotePort in (9001, 9030, 9040, 9050, 9051, 9150, 443)
| project Timestamp, DeviceName, InitiatingProcessAccountName,
InitiatingProcessFileName, RemoteIP, RemotePort, RemoteUrl
| order by Timestamp desc
```
### 证据截图
#### TOR 网络连接概览
#### TOR 网络连接详情
# 时间线事件
## 1. TOR 浏览器执行
- **时间戳:** `2026-04-12T21:14:05Z`
- 用户 **jameslee** 启动了 TOR 浏览器。
- 生成的进程:
- `firefox.exe`
- `tor.exe`
**结果:** TOR 浏览器成功启动。
## 2. 建立 TOR 网络通信
- **时间戳:** `2026-04-12T21:15:06Z`
- `tor.exe` 建立出站连接:
- IP:`69.12.83.97`
- 端口:`9001`
- 观察到额外的 HTTPS 加密流量(端口 443)
**结果:** 确认主动参与 TOR 网络通信。
## 3. 执行静默 TOR 安装
- **时间戳:** `2026-04-13T01:08:15Z`
- 执行:
`tor-browser-windows-x86_64-portable-15.0.9.exe /S`
**结果:**
- 执行了静默安装
- 没有用户交互或界面提示
## 4. TOR 文件部署到桌面
- **时间戳:** `2026-04-13T01:08:15Z`
- 在桌面创建/复制了多个 TOR 相关文件
- 创建的文件:
- `tor-shipping-list.txt`
**结果:** 可移植的 TOR 包被解压并存档到本地桌面。
### 证据截图
# 事件时间线(摘要视图)
| 时间 | 事件 |
|------|------|
| 2026-04-12 21:14:05Z | 启动 TOR 浏览器(`firefox.exe`,`tor.exe`) |
| 2026-04-12 21:15:06Z | 建立 TOR 网络连接(端口 9001) |
| 2026-04-13 01:08:15Z | 执行静默 TOR 安装器(`/S`) |
| 2026-04-13 01:08:15Z | 将 TOR 文件提取到桌面 |
# 总结
终端 **win-client-01** 上的用户 **jameslee** 已确认执行了 TOR 浏览器,包括网络通信和静默安装。首次使用发生在 2026 年 4 月 12 日,期间观察到通过加密连接和中继通信的主动 TOR 网络参与。随后在 2026 年 4 月 13 日执行了 TOR 浏览器的静默可执行文件安装,导致相关工件在桌面被提取和暂存。
# 响应措施
- 确认终端 **win-client-01** 上存在 TOR 使用行为
- 由于使用了匿名化工具和静默安装行为,活动已被上报以供审查
- 应评估终端活动是否存在策略违规以及未经授权的匿名浏览行为
# 威胁狩猎报告:未经授权的 TOR 使用(win-client-01)
- [场景创建](https://github.com/robertanaele/Threat-hunting-scenario-tor/blob/main/Threat-hunting-scenario-creation)
## 所利用的平台与语言
- Windows 10 虚拟机(Microsoft Azure)
- Microsoft Defender for Endpoint(EDR)
- Kusto 查询语言(KQL)
- TOR 浏览器(可移植可执行文件分析)
## 场景说明
管理层怀疑终端 **win-client-01** 存在未经授权的 TOR 浏览器使用行为,原因是观察到异常的加密出站流量以及疑似连接到匿名化基础设施。本调查的目标是确定是否安装了 TOR 浏览器、识别相关的网络活动,并重建用户行为的时间线以进行风险评估。
## 高级 TOR 相关 IoC 探测计划
- 查询 `DeviceFileEvents` 表以查找 TOR 相关可执行文件或工件。
- 查询 `DeviceProcessEvents` 表以查找安装、执行和浏览器启动活动。
- 查询 `DeviceNetworkEvents` 表以查找出站 TOR 相关流量(已知端口和中继行为)。
- 将进程执行与网络活动和文件系统更改相关联。
# 所采取的步骤
## 1. 查询 `DeviceFileEvents` 表
在 **win-client-01** 上针对用户 **jameslee** 搜索包含字符串 **"tor"** 的文件。
### 发现
- 触发了 TOR 相关安装器的文件创建与提取活动。
- 多个 TOR 相关文件被复制到桌面。
- 创建了一个名为 **`tor-shipping-list.txt`** 的文件,时间为:
- **时间戳:** `2026-04-13T01:08:15Z`
### 使用的查询
```
DeviceFileEvents
| where DeviceName == "win-client-01"
| where InitiatingProcessAccountName == "jameslee"
| where FileName contains "tor"
| where Timestamp >= datetime(2026-04-13T01:08:15Z)
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
| order by Timestamp desc
```
## 2. 查询 `DeviceProcessEvents` 表(静默安装)
搜索以下内容的执行:
`tor-browser-windows-x86_64-portable-15.0.9.exe /S`
### 发现
- 用户 **jameslee** 以静默模式执行了 TOR 安装器。
- 安装过程没有可见的用户界面或提示。
- **时间戳:** `2026-04-13T01:08:15Z`
### 使用的查询
```
DeviceProcessEvents
| where DeviceName == "win-client-01"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.9.exe /S"
| project Timestamp, DeviceName, ActionType, FileName, ProcessCommandLine
```
### 证据截图
## 3. 搜索 TOR 浏览器执行
搜索表明 TOR 浏览器启动活动的进程执行。
### 发现
- TOR 浏览器已在以下时间启动:
- **时间戳:** `2026-04-12T21:14:05Z`
- 观察到的进程:
- `firefox.exe`
- `tor.exe`
### 解释
- 确认 TOR 浏览器已在终端上成功执行。
### 使用的查询
```
DeviceProcessEvents
| where DeviceName == "win-client-01"
| where ProcessCommandLine has_any ("tor.exe", "firefox.exe")
| project Timestamp, DeviceName, AccountName, ActionType, ProcessCommandLine
| order by Timestamp desc
```
### 证据截图
#### TOR 浏览器进程活动概览
#### TOR 浏览器进程详情
## 4. 查询 `DeviceNetworkEvents` 表(TOR 网络流量)
搜索与 TOR 相关进程关联的出站流量。
### 发现
- **时间戳:** `2026-04-12T21:15:06Z`
- **远程 IP:** `69.12.83.97`
- **远程端口:** `9001`
- **进程:** `tor.exe`
- 观察到通过端口 **443** 的额外加密流量
### 解释
- 确认主动参与 TOR 网络中继通信。
### 使用的查询
```
DeviceNetworkEvents
| where DeviceName == "win-client-01"
| where InitiatingProcessFileName in~ ("tor.exe", "firefox.exe")
| where RemotePort in (9001, 9030, 9040, 9050, 9051, 9150, 443)
| project Timestamp, DeviceName, InitiatingProcessAccountName,
InitiatingProcessFileName, RemoteIP, RemotePort, RemoteUrl
| order by Timestamp desc
```
### 证据截图
#### TOR 网络连接概览
#### TOR 网络连接详情
# 时间线事件
## 1. TOR 浏览器执行
- **时间戳:** `2026-04-12T21:14:05Z`
- 用户 **jameslee** 启动了 TOR 浏览器。
- 生成的进程:
- `firefox.exe`
- `tor.exe`
**结果:** TOR 浏览器成功启动。
## 2. 建立 TOR 网络通信
- **时间戳:** `2026-04-12T21:15:06Z`
- `tor.exe` 建立出站连接:
- IP:`69.12.83.97`
- 端口:`9001`
- 观察到额外的 HTTPS 加密流量(端口 443)
**结果:** 确认主动参与 TOR 网络通信。
## 3. 执行静默 TOR 安装
- **时间戳:** `2026-04-13T01:08:15Z`
- 执行:
`tor-browser-windows-x86_64-portable-15.0.9.exe /S`
**结果:**
- 执行了静默安装
- 没有用户交互或界面提示
## 4. TOR 文件部署到桌面
- **时间戳:** `2026-04-13T01:08:15Z`
- 在桌面创建/复制了多个 TOR 相关文件
- 创建的文件:
- `tor-shipping-list.txt`
**结果:** 可移植的 TOR 包被解压并存档到本地桌面。
### 证据截图
# 事件时间线(摘要视图)
| 时间 | 事件 |
|------|------|
| 2026-04-12 21:14:05Z | 启动 TOR 浏览器(`firefox.exe`,`tor.exe`) |
| 2026-04-12 21:15:06Z | 建立 TOR 网络连接(端口 9001) |
| 2026-04-13 01:08:15Z | 执行静默 TOR 安装器(`/S`) |
| 2026-04-13 01:08:15Z | 将 TOR 文件提取到桌面 |
# 总结
终端 **win-client-01** 上的用户 **jameslee** 已确认执行了 TOR 浏览器,包括网络通信和静默安装。首次使用发生在 2026 年 4 月 12 日,期间观察到通过加密连接和中继通信的主动 TOR 网络参与。随后在 2026 年 4 月 13 日执行了 TOR 浏览器的静默可执行文件安装,导致相关工件在桌面被提取和暂存。
# 响应措施
- 确认终端 **win-client-01** 上存在 TOR 使用行为
- 由于使用了匿名化工具和静默安装行为,活动已被上报以供审查
- 应评估终端活动是否存在策略违规以及未经授权的匿名浏览行为标签:AI合规, EDR, HTTPS请求, IoC, KQL, Kusto查询语言, Microsoft Defender, TOR, Windows取证, 加密流量, 匿名网络, 可疑连接, 文件事件, 时间线重建, 浏览器取证, 端点检测, 网络事件, 脆弱性评估, 调查计划, 进程事件, 风险分析