21Aldir/threat-hunting-scenario-tor

GitHub: 21Aldir/threat-hunting-scenario-tor

一个基于真实场景的 Tor 匿名流量威胁狩猎实验室,帮助在隔离环境中复现、检测与响应绕过网络安全控制的行为。

Stars: 0 | Forks: 0

# 官方 [Cyber Range](http://joshmadakor.tech/cyber-range) 项目 Tor Logo with the onion and a crosshair on it # 威胁狩猎报告:未经授权的 TOR 使用 - [场景创建](https://github.com/21Aldir/tor-threat-hunting-lab/blob/main/threat-hunting-scenario-tor-event-creation.md) ## 使用的平台和语言 - Windows 10 虚拟机(Microsoft Azure) - EDR 平台:Microsoft Defender for Endpoint - Kusto 查询语言(KQL) - Tor 浏览器 ## 场景 管理层怀疑部分员工可能使用 TOR 浏览器绕过网络安全控制,因为近期网络日志显示异常的加密流量模式以及连接至已知 TOR 入口节点。此外,有匿名报告称员工在工作时间讨论访问受限网站的方法。目标是检测任何 TOR 使用情况并分析与安全相关的事件以缓解潜在风险。如果发现任何 TOR 使用,需通知管理层。 ### TOR 相关 IoC 发现的高级计划 - **检查 `DeviceFileEvents`** 是否存在任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。 - **检查 `DeviceProcessEvents`** 是否存在安装或使用的迹象。 - **检查 `DeviceNetworkEvents`** 是否存在通过已知 TOR 端口发出的外联连接迹象。 ## 采取的步骤 ### 1. 查询 `DeviceFileEvents` 表 搜索包含字符串 "tor" 的任何文件,发现用户 "aldir" 下载了 TOR 安装程序,将多个与 TOR 相关的文件解压至桌面,并创建了一个名为 `tor-shopping-list.txt` 的文件,时间为 `2026-04-15T19:51:17Z`。这些事件始于 `2026-04-15T19:06:28Z`。 **用于定位事件的查询:** ``` DeviceFileEvents | where DeviceName == "aldir-1" | where Account == "aldir" | where FileName contains "tor" | where Timestamp >= datetime(2026-04-15T19:06:28Z) | order by Timestamp desc | project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account ``` image ### 2. 查询 `DeviceProcessEvents` 表 搜索包含字符串 "tor-browser-windows-x86_64-portable-15.0.9.exe" 的任何 `ProcessCommandLine`。根据返回的日志,在 `2026-04-15T19:09:19Z`,用户 "aldir" 在设备 "aldir-1" 上从桌面 Tor 浏览器文件夹运行了文件 `tor-browser-windows-x86_64-portable-15.0.9.exe`,使用了触发便携安装的指令。 **用于定位事件的查询:** ``` DeviceProcessEvents | where DeviceName == "aldir-1" | where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.9.exe" | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine ``` image ### 3. 查询 `DeviceProcessEvents` 表以查找 TOR 浏览器执行 搜索用户 "aldir" 是否实际打开了 TOR 浏览器的迹象。有证据表明其在 `2026-04-15T19:25:00Z` 或之后打开了该浏览器。随后还出现了多个 `firefox.exe`(TOR)以及 `tor.exe` 实例。 **用于定位事件的查询:** ``` DeviceProcessEvents | where DeviceName == "aldir-1" | where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe") | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine | order by Timestamp desc ``` image ### 4. 查询 `DeviceNetworkEvents` 表以查找 TOR 网络连接 搜索任何表明 TOR 浏览器被用于建立已知 TOR 端口连接的迹象。在 `2026-04-15T19:25:00Z` 或之后,用户 "aldir" 在设备 "aldir-1" 上成功建立了连接至远程 IP 地址 `82.67.111.215` 和 `51.91.241.137` 的连接,使用的端口为 `9001`。连接由位于文件夹 `C:\Users\Aldir\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` 的进程 `tor.exe` 发起。此外还有通过端口 `443` 的其他连接。 **用于定位事件的查询:** ``` DeviceNetworkEvents | where DeviceName == "aldir-1" | where InitiatingProcessAccountName != "system" | where InitiatingProcessFileName in ("tor.exe", "firefox.exe") | where RemotePort in ("9001", "9030", "9040", "9050", "9051", "9150", "80", "443") | project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath | order by Timestamp desc ``` image ## 时间线事件 ### 1. 文件下载 — TOR 安装程序 - **时间戳:** `2026-04-15T19:06:28Z` - **事件:** 用户 "aldir" 下载了名为 `tor-browser-windows-x86_64-portable-15.0.9.exe` 的文件至下载文件夹。 - **操作:** 检测到文件下载。 - **文件路径:** `C:\Users\Aldir\Downloads\tor-browser-windows-x86_64-portable-15.0.9.exe` ### 2. 文件解压 — TOR 浏览器安装 - **时间戳:** `2026-04-15T19:09:19Z` - `2026-04-15T19:09:30Z` - **事件:** 用户 "aldir" 将便携 TOR 浏览器解压至桌面。创建了多个文件,包括 `firefox.exe`、`tor.exe` 以及许可文档。 - **操作:** 检测到多个文件创建事件。 - **文件路径:** `C:\Users\Aldir\Desktop\Tor Browser\Browser\` ### 3. 进程执行 — 启动 TOR 浏览器 - **时间戳:** `2026-04-15T19:25:00Z` 或更晚 - **事件:** 用户 "aldir" 打开了 TOR 浏览器。随后创建了与 TOR 浏览器相关的多个进程,如 `firefox.exe` 和 `tor.exe`,表明浏览器成功启动。 - **操作:** 检测到 TOR 浏览器相关可执行文件的进程创建。 - **文件路径:** `C:\Users\Aldir\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` ### 4. 网络连接 — TOR 中继节点 #1 - **时间戳:** `2026-04-15T19:25:00Z` 或更晚 - **事件:** 用户 "aldir" 使用 `tor.exe` 连接至 IP `82.67.111.215` 的端口 `9001`,确认了 TOR 浏览器网络活动。 - **操作:** 连接确认(成功)。 - **进程:** `tor.exe` - **文件路径:** `C:\Users\Aldir\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` ### 5. 网络连接 — TOR 中继节点 #2 - **时间戳:** `2026-04-15T19:25:00Z` 或更晚 - **事件:** 用户 "aldir" 使用 `tor.exe` 连接至 IP `51.91.241.137` 的端口 `9001`。 - **操作:** 连接确认(成功)。 - **进程:** `tor.exe` - **文件路径:** `C:\Users\Aldir\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe` ### 6. 附加网络连接 — TOR 浏览器活动 - **时间戳:** `2026-04-15T19:25:00Z` - `2026-04-15T19:51:17Z` - **事件:** 建立了连接至多个 IP 的附加连接,使用的端口为 `443` 及其他端口,表明用户 "aldir" 通过 TOR 浏览器持续活动。 - **操作:** 检测到多个成功连接。 ### 7. 文件创建 — TOR 购物清单 - **时间戳:** `2026-04-15T19:51:17Z` - **事件:** 用户 "aldir" 在桌面创建了名为 `tor-shopping-list.txt` 的文件,可能与其 TOR 浏览器活动相关。 - **操作:** 检测到文件创建。 - **文件路径:** `C:\Users\Aldir\Desktop\tor-shopping-list.txt` - **SHA256:** `cbf296b83e566387289eecc30fa3ee3b1636c95da204124e849e6d358390a398` ## 总结 用户 "aldir" 在设备 "aldir-1" 上下载、解压并执行了便携 TOR 浏览器。随后启动浏览器,通过端口 9001 建立多个 TOR 网络中继连接,并在桌面上创建了多个与 TOR 相关的文件,包括名为 `tor-shopping-list.txt` 的文件。此活动序列表明用户主动安装、配置并使用了 浏览器,很可能用于匿名浏览,并以 "购物清单" 文件的形式进行了记录。 ## 响应措施 已通过终端 `aldir-1` 确认用户 `aldir` 使用了 TOR。该设备已被隔离,且管理层已被告知未经授权的活动。
标签:Azure虚拟机, CIDR扫描, EDR, KQL, Kusto查询语言, Microsoft Defender, TOR, Windows 调试器, 加密流量, 匿名网络, 安全事件响应, 恶意行为检测, 数字取证, 端点检测, 网络安全, 网络隔离, 脆弱性评估, 自动化脚本, 隐私保护