PaidDues/threat-hunting-scenario-tor-internal-threat

# 星光行动 # 威胁狩猎报告：未经授权使用 Tor 浏览器 - [场景创建](https://github.com/PaidDues/threat-hunting-scenario-tor-internal-threat/blob/main/threat-hunting-scenario-tor-event-creation.md) ## 利用的平台和语言 - Windows 11 虚拟机（Microsoft Azure） - EDR 平台：Microsoft Defender for Endpoint - Kusto 查询语言 (KQL) - Tor 浏览器 ## 场景描述 Vought 网络安全团队怀疑，由于最近的网络日志显示来自已知 Tor 入口节点的异常加密流量，高权限员工正在滥用其对 Vought 系统的访问权限来下载和使用 Tor 浏览器，以规避安全控制。此外，还有匿名举报称员工在工作时间讨论如何访问受限网站。Vought 首席执行官 Edgar 先生已知晓此事，并要求对此事进行低调调查。任何与 Tor 相关的活动都需要立即确认、分析和溯源。Edgar 先生要求对任何阳性发现进行快速、隐秘的通报！ ## 假设 基于近期显示已知 Tor 入口节点异常加密流量的网络异常，以及员工在工作时间讨论访问受限网站方法的匿名内部报告，我的假设是：在 Vought 企业网络内，有一名或多名员工已经下载、安装并积极使用 Tor 浏览器来规避组织安全控制。本次狩猎将通过检查 Microsoft Defender for Endpoint 中的文件、进程和网络事件表的端点遥测数据，来尝试证实或反驳这一假设。 ### 高层级 Tor 相关 IoC 发现计划 - 检查 `DeviceFileEvents` 表，查找包含 `tor(.exe)` 或 `firefox(.exe)` 的文件事件。 - 检查 `DeviceProcessEvents` 表，查找任何安装或使用迹象。 - 检查 `DeviceNetworkEvents` 表，查找通过已知 Tor 端口建立传出连接的迹象。 ## 采取的步骤 ### 1. 搜索 `DeviceFileEvents` 表以确认 Tor 的存在 搜索任何包含字符串 `tor` 的文件，发现了看起来是用户 `homelander` 下载了 Tor 安装程序，将多个 Tor 相关文件解压到桌面，并于 `2026-05-01T19:29:55.6369087Z` 在桌面上创建了一个名为 `journalist-cowards-tor.txt` 的文件。这些事件始于 `2026-05-01T19:06:24.866989Z`。 **用于定位事件的查询：** ``` let targetDay = datetime(2026-05-01); let targetDevice = "vought-lab-01"; let targetUser = "homelander"; DeviceFileEvents | where Timestamp between (targetDay .. 1d) and DeviceName == targetDevice and InitiatingProcessAccountName == targetUser and FileName contains "tor" | order by Timestamp desc | project Timestamp, DeviceName, Account = InitiatingProcessAccountName, ActionType, FileName, FolderPath, SHA256 ``` ### 2. 搜索 `DeviceProcessEvents` 表以确认 Tor 浏览器安装 搜索任何包含字符串 "tor-browser-windows" 的 `ProcessCommandLine`。根据返回的日志，在 `2026-05-01T19:08:11.0959154Z`，用户 `homelander` 在设备 `vought-lab-01` 上从其下载文件夹运行了文件 `tor-browser-windows`，使用了一个触发静默安装的命令。 **用于定位事件的查询：** ``` let targetDay = datetime(2026-05-01); let targetDevice = "vought-lab-01"; let targetUser = "homelander"; DeviceProcessEvents | where Timestamp between (targetDay .. 1d) and DeviceName == targetDevice and InitiatingProcessAccountName == targetUser and ProcessCommandLine contains "tor-browser-windows" | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine ``` ### 3. 搜索 `DeviceProcessEvents` 表以确认 Tor 浏览器执行 搜索用户 `homelander` 确实打开了 Tor 浏览器的任何迹象。有证据表明他们在 `2026-05-01T19:08:53.2532165Z` 打开了它。之后还出现了多个 `firefox.exe`（Tor）以及 `tor.exe` 的实例。 **用于定位事件的查询：** ``` let targetDay = datetime(2026-05-01); let targetDevice = "vought-lab-01"; let targetUser = "homelander"; DeviceProcessEvents | where Timestamp between (targetDay .. 1d) and DeviceName == targetDevice and InitiatingProcessAccountName == targetUser and FileName has_any ("tor.exe", "firefox.exe") | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine | order by Timestamp desc ``` ### 4. 搜索 `DeviceNetworkEvents` 表以确认 Tor 网络连接 搜索 Tor 浏览器使用任何已知 Tor 端口建立连接的任何迹象。在 `2026-05-01T19:09:12.4198138Z`，用户 `homelander` 在设备 `vought-lab-01` 上成功建立了到远程 IP 地址 `146.59.15.186` 端口 `9001` 的连接。该连接由位于文件夹 `c:\users\homelander\desktop\tor browser\browser\torbrowser\tor\tor.exe` 的进程 `tor.exe` 发起。还观察到通过端口 `443` 的其他连接。 **用于定位事件的查询：** ``` let targetDay = datetime(2026-05-01); let targetDevice = "vought-lab-01"; let targetUser = "homelander"; let torPorts = dynamic([9001, 9030, 9040, 9050, 9051, 9150, 80, 443]); DeviceNetworkEvents | where Timestamp between (targetDay .. 1d) and DeviceName == targetDevice and InitiatingProcessAccountName == targetUser and InitiatingProcessFileName in ("tor.exe", "firefox.exe") and RemotePort in (torPorts) | project Timestamp, DeviceName, AccountName = InitiatingProcessAccountName, RemotePort, RemoteUrl, RemoteIP, InitiatingProcessFileName, InitiatingProcessFolderPath ``` 推理：端口 80 和 443 与 Tor 特定端口（9001、9030、9040、9050、9051、9150）一同被有意包含在内，以涵盖 Tor 桥接和 obfs4 可插拔传输流量。Tor 桥接器是未公开列表的中继，它们监听常用 Web 端口以混入标准 HTTPS 流量并规避基于端口的检测。由于查询还通过发起进程（tor.exe 和 firefox.exe）进行过滤，并且结果通过文件夹路径（确认 Tor 浏览器安装目录）进一步验证，因此包含这些端口不会引入显著的噪声。 ## MITRE ATT&CK 映射 | 步骤 | 观察到的活动 | ATT&CK 技术 | 技术 ID | |------|--------------|---------------|---------| | 1 | Tor 安装程序下载到端点 | 入口工具传输 | T1105 | | 2 | 通过 `/S` 标志进行静默安装 | 用户执行：恶意文件 | T1204.002 | | 3 | Tor 浏览器和 tor.exe 启动 | 命令和脚本解释器 | T1059 | | 4 | 到 Tor 中继的端口 9001 的出站连接 | 应用层协议：Web 协议 | T1071.001 | | 4 | 使用 Tor 网络匿名化流量 | 代理：多跳代理 | T1090.003 | | 6 | 创建 `journalist-cowards-tor.txt` | 数据暂存：本地数据暂存 | T1074.001 | ## 时间线事件表 ### 1. 文件下载 - Tor 安装程序 - **时间戳：** `2026-05-01T19:06:24.866989Z` - **事件：** 用户 `homelander` 将名为 `tor-browser-windows-x86_64-portable-15.0.11.exe` 的文件下载到下载文件夹。 - **操作：** 检测到文件下载。 - **文件路径：** `C:\Users\homelander\Downloads\tor-browser-windows-x86_64-portable-15.0.11.exe` ### 2. 进程执行 - Tor 浏览器安装 - **时间戳：** `2026-05-01T19:08:11.0959154Z` - **事件：** 用户 `homelander` 以静默模式执行文件 `tor-browser-windows-x86_64-portable-15.0.11.exe`，启动了 Tor 浏览器的后台安装。 - **操作：** 检测到进程创建。 - **命令：** `tor-browser-windows-x86_64-portable-15.0.11.exe /S` - **文件路径：** `C:\Users\homelander\Downloads\tor-browser-windows-x86_64-portable-15.0.11.exe` ### 3. 进程执行 - Tor 浏览器启动 - **时间戳：** `2026-05-01T19:08:53.2532165Z` - **事件：** 用户 `homelander` 打开了 Tor 浏览器。随后还创建了与 Tor 浏览器关联的进程，如 `firefox.exe` 和 `tor.exe`，表明浏览器已成功启动。 - **操作：** 检测到 Tor 浏览器相关可执行文件的进程创建。 - **文件路径：** `C:\Users\homelander\Desktop\Tor Browser\Browser\firefox.exe` ### 4. 网络连接 - Tor 网络 - **时间戳：** `2026-05-01T19:09:12.4198138Z` - **事件：** 用户 `homelander` 使用 `tor.exe` 建立了到 IP `146.59.15.186` 端口 `9001` 的网络连接，证实了 Tor 浏览器的网络活动。 - **操作：** 连接成功。 - **进程：** `tor.exe` - **文件路径：** `c:\users\homelander\desktop\tor browser\browser\torbrowser\tor\tor.exe` ### 5. 其他网络连接 - Tor 浏览器活动 - **时间戳：** - `2026-05-01T19:09:09.8371751Z` - 连接到 `194.164.169.85` 的端口 `443`。 - `2026-05-01T19:09:21.0603365Z` - 本地连接到 `127.0.0.1` 的端口 `9150`。 - **事件：** 用户 `homelander` 建立了额外的 Tor 网络连接。到 `194.164.169.85` 端口 `443` 的连接与 Tor 桥接或 obfs4 可插拔传输流量一致。到 `127.0.0.1` 端口 `9150` 的本地连接代表了 Tor 浏览器内置的 SOCKS 代理，这是一个本地监听器，用于将所有浏览器流量通过 Tor 网络路由。这两个连接都证实了 Tor 正在积极使用中。 - **操作：** 检测到多个成功连接。 ### 6. 文件创建 - 可能由 Tor 产生的记者名单 - **时间戳：** `2026-05-01T19:29:55.6369087Z` - **事件：** 用户 `homelander` 在桌面上创建了一个名为 `journalist-cowards-tor.txt` 的文件，可能表明与其 Tor 浏览器活动相关的列表或笔记。 - **操作：** 检测到文件创建。 - **文件路径：** `C:\Users\homelander\Desktop\journalist-cowards-tor.txt` ## 误报分析 本次狩猎的一个关键关注点是区分 Tor 浏览器活动与合法的 Firefox 使用，因为 Tor 浏览器基于 Firefox 构建并共享相同的 `firefox.exe` 进程名称。使用了以下因素来排除误报： - **文件夹路径验证：** 合法的 Firefox 安装位于 `C:\Program Files\Mozilla Firefox\`。本次狩猎中观察到的 `firefox.exe` 实例位于 `C:\Users\homelander\Desktop\Tor Browser\Browser\firefox.exe` —— 这个路径与便携式 Tor 浏览器安装一致，而与标准 Firefox 部署不一致。 - **伴随进程：** 观察到 `firefox.exe` 活动与 `tor.exe`（Tor 网络守护进程）同时出现。标准的 Firefox 安装不会启动 `tor.exe`。 - **网络行为：** 观察到的连接包括通过端口 `9001` 到已知 Tor 中继 IP 地址的流量。标准 Firefox 不会在 Tor 特定端口上产生流量。 - **安装方式：** 进程执行日志显示从名为 `tor-browser-windows-x86_64-portable-15.0.11.exe` 的文件进行了静默安装（`/S` 标志），确认该应用程序是 Tor 浏览器，而不是 Firefox。 基于这些指标，已高置信度地确认该活动为真正的 Tor 浏览器使用。 ## 严重性与风险评估 | 属性 | 详情 | |------|------| | **严重性** | 高 | | **置信度** | 高：通过文件、进程和网络遥测确认 | | **用户** | `homelander` | | **设备** | `vought-lab-01` | | **违反的政策** | 可接受使用政策：未经授权安装和使用匿名化工具 | **风险理由：** - **数据泄露风险：** Tor 提供加密、匿名的通信通道，绕过企业 DLP 和网络监控控制，为敏感数据离开组织创造了一条未受监控的路径。 - **内部威胁指标：** 使用静默安装标志（`/S`）表明其意图明确，旨在避免检测，这使其升级为超出随意违反政策的行为。 - **监管风险敞口：** 根据所访问的数据，通过 Tor 进行未受监控的浏览可能导致违反适用的数据保护法规。 - **意图证据：** 创建 `journalist-cowards-tor.txt` 表明其活动具有针对性，超越了随意浏览，可能表明与媒体联系人相关的侦察或规划。 ## 响应与建议 **已采取的立即行动：** - 通过 Microsoft Defender for Endpoint 将端点 `vought-lab-01` 与企业网络隔离。 - 根据调查的操作指南，已隐秘地通知了 Edgar 先生。 - 为调查记录保存了所有相关遥测（文件、进程和网络事件）的快照。 **建议的后续步骤：** - 在 HR 和法律审查结果出来之前，禁用或暂停 `homelander` 用户帐户。 - 对 `journalist-cowards-tor.txt` 进行取证审查，以确定其内容的性质和敏感性。 - 在所有端点上进行全组织范围的扫描，查询 `tor.exe`、`tor-browser-windows` 以及连接到已知 Tor 中继 IP 的情况，以确定是否有其他用户受影响。 - 更新防火墙和代理规则，使用已发布的 Tor 中继列表，阻止连接到已知的 Tor 入口和出口节点。 - 将 Tor 安装程序哈希（来自文件事件日志的 `SHA256`）提交给威胁情报平台，检查是否与已知威胁行为者工具包相关联。 - 与 HR 和法律部门协调，根据暂存文件的内容和用户的浏览活动，确定适当的纪律处分或调查行动。

标签：Kusto查询语言, Microsoft Defender for Endpoint, Tor浏览器, 企业安全, 企业安全监控, 入侵指标检测, 内部威胁, 匿名通信, 威胁情报, 安全事件调查, 安全控制绕过, 开发者工具, 文件监控, 暗网, 端点安全, 端点检测与响应, 网络安全, 网络流量分析, 网络资产管理, 脱壳工具, 补丁管理, 隐私保护