PhantomBanditX/Threat-Hunting-Scenario-Tor-Browser-Usage-
GitHub: PhantomBanditX/Threat-Hunting-Scenario-Tor-Browser-Usage-
一份基于 KQL 与 EDR 的事件驱动型威胁狩猎方案,用于检测与响应未经授权的 Tor 浏览器使用。
Stars: 0 | Forks: 0
# 威胁狩猎场景(Tor 浏览器使用)
# 威胁狩猎报告:未经授权的 Tor 使用
- [场景创建](https://github.com/tkalandyk/threat-hunting-scenario-tor-/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 利用的平台和语言
- Windows 11 虚拟机(Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言(KQL)
- Tor 浏览器
## 场景
管理层怀疑部分员工可能使用 Tor 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及与已知 Tor 入口节点的连接。此外,有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何 Tor 的使用并分析与安全相关的事件,以缓解潜在风险。如果发现任何 Tor 的使用,将通知管理层。
### Tor 相关 IoC 发现的高级计划
- **检查 `DeviceFileEvents`** 是否存在任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 是否存在安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 是否存在通过已知 Tor 端口的出站连接迹象。
## 执行步骤
### 1. 查询 `DeviceFileEvents` 表
搜索包含字符串 "tor" 的任何文件,发现用户 "mathodman" 下载了 Tor 安装程序,随后桌面上出现了大量与 Tor 相关的文件,并在 `2026-01-06T21:18:19.0000000Z` 创建了名为 `tor-shopping-list.txt` 的文件。这些事件始于 `2026-01-06T21:17:43.0000000Z`。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "wutang"
| where InitiatingProcessAccountName == "methodman"
| where FileName contains "tor"
| where Timestamp >= datetime(2026-01-06T21:18:07.1084878Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 查询 `DeviceProcessEvents` 表
搜索包含字符串 "tor-browser-windows-x86_64" 的任何 `ProcessCommandLine`。根据返回的日志,在 `2026-01-06T21:17:43.9557981Z`,设备 "wutang" 上的员工从下载文件夹运行了文件 `tor-browser-windows-x86_64-portable-14.0.1.exe`,使用了触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "wutang"
| where ProcessCommandLine contains "tor-browser-windows-x86_64"
| project Timestamp,DeviceName, ActionType,FileName,FolderPath,SHA256,AccountName,ProcessCommandLine
```
### 3. 查询 `DeviceProcessEvents` 表以查找 Tor 浏览器执行
搜索用户 "wutang" 实际打开 Tor 浏览器的迹象。有证据表明其在 `2026-01-06T21:19:35.8427702Z` 打开了 Tor 浏览器。随后还出现了多个 `firefox.exe`(Tor)以及 `tor.exe` 实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "wutang"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 查询 `DeviceNetworkEvents` 表以查找 Tor 网络连接
搜索 Tor 浏览器是否使用任何已知 Tor 端口建立连接的迹象。在 `2026-01-06T21:20:55.7751044Z`,设备 "wutang" 上的员工成功建立了到远程 IP 地址 `81.201.202.101`、端口 `9001` 的连接。该连接由 `tor.exe` 发起,位于文件夹 `c:\users\methodman\desktop\tor browser\browser\torbrowser\tor\tor.exe`。还建立了其他通过端口 `443` 的站点连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "wutang"
| where InitiatingProcessAccountName != "system"
| where InitiatingProcessFileName in ("tor.exe", "firefox.exe")
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 时间线事件
### 1. 文件下载 — Tor 安装程序
- **时间戳:** `2026-01-06T21:17:43.0000000Z`
- **事件:** 用户 "methodman" 下载了名为 `tor-browser-windows-x86_64-portable-15.0.3.exe` 的文件到下载文件夹。
- **操作:** 检测到文件下载。
- **文件路径:** `C:\Users\methodman\Downloads\tor-browser-windows-x86_64-portable-15.0.3.exe`
### 2. 进程执行 — Tor 浏览器安装
- **时间戳:** `2026-01-06T21:18:07.0000000Z`
- **事件:** 用户 "methodman" 以静默模式执行文件 `tor-browser-windows-x86_64-portable-15.0.3.exe`,启动了 Tor 浏览器的后台安装。
- **操作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-15.0.3.exe /S`
- **文件路径:** `C:\Users\methodman\Downloads\tor-browser-windows-x86_64-portable-15.0.3.exe`
### 3. 进程执行 — 启动 Tor 浏览器
- **时间戳:** `2026-01-06T21:19:35.0000000Z`
- **事件:** 用户 "methodman" 打开了 Tor 浏览器。随后创建了与 Tor 浏览器相关的进程,如 `firefox.exe` 和 `tor.exe`,表明浏览器成功启动。
- **操作:** 检测到与 Tor 浏览器相关的可执行文件进程创建。
- **文件路径:** `C:\Users\methodman\Desktop\Tor Browser\Browser\TorBrowser\tor\tor.exe`
### 4. 网络连接 — Tor 网络
- **时间戳:** `2026-01-06T21:20:55.0000000Z`
- **事件:** 用户 "methodman" 使用 `tor.exe` 成功建立了到 IP 地址 `81.201.202.101`、端口 `9001` 的连接,确认了 Tor 浏览器的网络活动。
- **操作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `C:\Users\methodman\Desktop\Tor Browser\Browser\TorBrowser\tor\tor.exe`
### 5. 附加网络连接 — Tor 浏览器活动
- **时间戳:**
- `2026-01-06T21:20:55Z` — 多个 Tor 中继连接在端口 `9001`
- `2026-01-06T21:21:07Z` — 端口 `443` 上的加密 Tor 流量
- `2026-01-06T21:20:47Z` — 本地代理活动在 `127.0.0.1:9150`
- **事件:** 建立了其他 Tor 网络连接,表明用户 "methodman" 通过 Tor 浏览器持续活动。
- **操作:** 检测到多个成功连接。
### 6. 文件创建 — Tor 购物清单
- **时间戳:** `2026-01-06T21:18:19.0000000Z`
- **事件:** 用户 "methodman" 在桌面上创建了名为 `tor-shopping-list.txt` 的文件,可能记录了与 Tor 浏览器活动相关的列表或笔记。
- **操作:** 检测到文件创建。
- **文件路径:** `C:\Users\methodman\Desktop\tor-shopping-list.txt`
## 总结
用户 "methodman" 在设备 "wutang" 上启动并完成了 Tor 浏览器的安装。随后,他们打开了浏览器,建立了 Tor 网络连接,并在桌面上创建了与 Tor 相关的各种文件,包括名为 `tor-shopping-list.txt` 的文件。这一系列操作表明用户主动安装、配置并使用了 Tor 浏览器,很可能用于匿名浏览,并以“购物清单”文件的形式进行了记录。
## 响应措施
已通过终端 `wutang` 确认用户 `methodman` 使用了 Tor。该设备已被隔离,并已通知用户的直接主管。
### 2. 查询 `DeviceProcessEvents` 表
搜索包含字符串 "tor-browser-windows-x86_64" 的任何 `ProcessCommandLine`。根据返回的日志,在 `2026-01-06T21:17:43.9557981Z`,设备 "wutang" 上的员工从下载文件夹运行了文件 `tor-browser-windows-x86_64-portable-14.0.1.exe`,使用了触发静默安装的命令。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "wutang"
| where ProcessCommandLine contains "tor-browser-windows-x86_64"
| project Timestamp,DeviceName, ActionType,FileName,FolderPath,SHA256,AccountName,ProcessCommandLine
```
### 3. 查询 `DeviceProcessEvents` 表以查找 Tor 浏览器执行
搜索用户 "wutang" 实际打开 Tor 浏览器的迹象。有证据表明其在 `2026-01-06T21:19:35.8427702Z` 打开了 Tor 浏览器。随后还出现了多个 `firefox.exe`(Tor)以及 `tor.exe` 实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "wutang"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 查询 `DeviceNetworkEvents` 表以查找 Tor 网络连接
搜索 Tor 浏览器是否使用任何已知 Tor 端口建立连接的迹象。在 `2026-01-06T21:20:55.7751044Z`,设备 "wutang" 上的员工成功建立了到远程 IP 地址 `81.201.202.101`、端口 `9001` 的连接。该连接由 `tor.exe` 发起,位于文件夹 `c:\users\methodman\desktop\tor browser\browser\torbrowser\tor\tor.exe`。还建立了其他通过端口 `443` 的站点连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "wutang"
| where InitiatingProcessAccountName != "system"
| where InitiatingProcessFileName in ("tor.exe", "firefox.exe")
| where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 时间线事件
### 1. 文件下载 — Tor 安装程序
- **时间戳:** `2026-01-06T21:17:43.0000000Z`
- **事件:** 用户 "methodman" 下载了名为 `tor-browser-windows-x86_64-portable-15.0.3.exe` 的文件到下载文件夹。
- **操作:** 检测到文件下载。
- **文件路径:** `C:\Users\methodman\Downloads\tor-browser-windows-x86_64-portable-15.0.3.exe`
### 2. 进程执行 — Tor 浏览器安装
- **时间戳:** `2026-01-06T21:18:07.0000000Z`
- **事件:** 用户 "methodman" 以静默模式执行文件 `tor-browser-windows-x86_64-portable-15.0.3.exe`,启动了 Tor 浏览器的后台安装。
- **操作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-15.0.3.exe /S`
- **文件路径:** `C:\Users\methodman\Downloads\tor-browser-windows-x86_64-portable-15.0.3.exe`
### 3. 进程执行 — 启动 Tor 浏览器
- **时间戳:** `2026-01-06T21:19:35.0000000Z`
- **事件:** 用户 "methodman" 打开了 Tor 浏览器。随后创建了与 Tor 浏览器相关的进程,如 `firefox.exe` 和 `tor.exe`,表明浏览器成功启动。
- **操作:** 检测到与 Tor 浏览器相关的可执行文件进程创建。
- **文件路径:** `C:\Users\methodman\Desktop\Tor Browser\Browser\TorBrowser\tor\tor.exe`
### 4. 网络连接 — Tor 网络
- **时间戳:** `2026-01-06T21:20:55.0000000Z`
- **事件:** 用户 "methodman" 使用 `tor.exe` 成功建立了到 IP 地址 `81.201.202.101`、端口 `9001` 的连接,确认了 Tor 浏览器的网络活动。
- **操作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `C:\Users\methodman\Desktop\Tor Browser\Browser\TorBrowser\tor\tor.exe`
### 5. 附加网络连接 — Tor 浏览器活动
- **时间戳:**
- `2026-01-06T21:20:55Z` — 多个 Tor 中继连接在端口 `9001`
- `2026-01-06T21:21:07Z` — 端口 `443` 上的加密 Tor 流量
- `2026-01-06T21:20:47Z` — 本地代理活动在 `127.0.0.1:9150`
- **事件:** 建立了其他 Tor 网络连接,表明用户 "methodman" 通过 Tor 浏览器持续活动。
- **操作:** 检测到多个成功连接。
### 6. 文件创建 — Tor 购物清单
- **时间戳:** `2026-01-06T21:18:19.0000000Z`
- **事件:** 用户 "methodman" 在桌面上创建了名为 `tor-shopping-list.txt` 的文件,可能记录了与 Tor 浏览器活动相关的列表或笔记。
- **操作:** 检测到文件创建。
- **文件路径:** `C:\Users\methodman\Desktop\tor-shopping-list.txt`
## 总结
用户 "methodman" 在设备 "wutang" 上启动并完成了 Tor 浏览器的安装。随后,他们打开了浏览器,建立了 Tor 网络连接,并在桌面上创建了与 Tor 相关的各种文件,包括名为 `tor-shopping-list.txt` 的文件。这一系列操作表明用户主动安装、配置并使用了 Tor 浏览器,很可能用于匿名浏览,并以“购物清单”文件的形式进行了记录。
## 响应措施
已通过终端 `wutang` 确认用户 `methodman` 使用了 Tor。该设备已被隔离,并已通知用户的直接主管。标签:AI合规, EDR, IOC 发现, KQL, Kusto 查询语言, Microsoft Defender for Endpoint, T1030, T1071.001, Tor 浏览器, TOR 节点检测, Windows 11, Windows 调试器, 加密流量分析, 匿名访问, 安全事件分析, 异常流量检测, 文件事件监控, 端点检测与响应, 网络事件监控, 网络隐蔽信道, 脆弱性评估, 脱壳工具, 进程事件监控, 违规使用监控