petergergely007/threat-hunting-scenario-tor-event-creation.md

# 威胁事件（未经授权的 TOR 使用） ## “不良行为者”采取的步骤、创建日志和 IoC： 1. 下载 TOR 浏览器安装程序：[https://www.torproject.org/download/](https://www.torproject.org/download/) 2. 静默安装：```tor-browser-windows-x86_64-portable-14.0.1.exe /S``` 3. 从桌面文件夹打开 TOR 浏览器 4. 连接到 TOR 并浏览一些网站。例如： - **警告：通往洋葱站点的链接经常变化，以下链接可能已失效。不过，如果你连接到 Tor 并浏览一些正常站点，仍应生成必要的日志：** - 当前 Dread 论坛：[dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion](dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion) - 暗网市场论坛：[dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/d/DarkNetMarkets](dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/d/DarkNetMarkets) - 当前 Elysium 市场：[elysiumutkwscnmdohj23gkcyp3ebrf4iio3sngc5tvcgyfp4nqqmwad.top/login](elysiumutkwscnmdohj23gkcyp3ebrf4iio3sngc5tvcgyfp4nqqmwad.top/login) 5. 在桌面上创建一个名为 ```tor-shopping-list.txt``` 的文件，并添加几条假的（非法的）条目 6. 删除该文件 ## 用于检测 IoC 的表格： | **参数** | **描述** | |----------------|----------------------------------------------------------------------| | **名称** | DeviceFileEvents | | **信息** | [https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-deviceinfo-table](https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-deviceinfo-table) | | **用途** | 用于检测 TOR 的下载与安装，以及购物清单的创建与删除。 | | **参数** | **描述** | |----------------|----------------------------------------------------------------------| | **名称** | DeviceProcessEvents | | **信息** | [https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-deviceinfo-table](https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-deviceinfo-table) | | **用途** | 用于检测 TOR 的静默安装，以及 TOR 浏览器和服务的启动。 | | **参数** | **描述** | |----------------|----------------------------------------------------------------------| | **名称** | DeviceNetworkEvents | | **信息** | [https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-devicenetworkevents-table](https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-devicenetworkevents-table) | | **用途** | 用于检测 TOR 网络活动，特别是 tor.exe 和 firefox.exe 在端口上的连接，这些端口用于 TOR 通信（9001、9030、9040、9050、9051、9150）。 | ## 相关查询： ``` // Installer name == tor-browser-windows-x86_64-portable-(version).exe // Detect the installer being downloaded DeviceFileEvents | where FileName startswith "tor" // TOR Browser being silently installed // Take note of two spaces before the /S (I don't know why) DeviceProcessEvents | where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-14.0.1.exe /S" | project Timestamp, DeviceName, ActionType, FileName, ProcessCommandLine // TOR Browser or service was successfully installed and is present on the disk DeviceFileEvents | where FileName has_any ("tor.exe", "firefox.exe") | project Timestamp, DeviceName, RequestAccountName, ActionType, InitiatingProcessCommandLine // TOR Browser or service was launched DeviceProcessEvents | where ProcessCommandLine has_any("tor.exe","firefox.exe") | project Timestamp, DeviceName, AccountName, ActionType, ProcessCommandLine // TOR Browser or service is being used and is actively creating network connections DeviceNetworkEvents | where InitiatingProcessFileName in~ ("tor.exe", "firefox.exe") | where RemotePort in (9001, 9030, 9040, 9050, 9051, 9150) | project Timestamp, DeviceName, InitiatingProcessAccountName, InitiatingProcessFileName, RemoteIP, RemotePort, RemoteUrl | order by Timestamp desc // User shopping list was created and, changed, or deleted DeviceFileEvents | where FileName contains "shopping-list.txt" ``` ## 创建者： - **作者姓名**：Peter Gergely - **作者联系方式**：[https://www.linkedin.com/in/peter-g-03846161/](https://www.linkedin.com/in/peter-g-03846161/) - **日期**：2026 年 4 月 17 日 ## 验证者： - **审核人姓名**： - **审核人联系方式**： - **验证日期**： ## 附加说明： - **无** ## 修订历史： | **版本** | **变更** | **日期** | **修改者** | |----------|----------------------------|------------------|--------------| | 1.0 | 初始草稿 | `2026 年 4 月 17 日` | `Peter Gergely`

标签：BurpSuite集成, EDR, IoC, IP 地址批量处理, StruQ, T1055, T1071, T1552, T1564, TOR网络, 匿名浏览, 可疑进程, 威胁情报, 开发者工具, 恶意软件, 文件创建与删除, 桌面痕迹, 洋葱服务, 终端检测与响应, 脆弱性评估, 隐私工具滥用, 静默安装