Tochiughasoro/threat-hunting-scenario-tor-
GitHub: Tochiughasoro/threat-hunting-scenario-tor-
这是一个用于检测企业中未经授权Tor浏览器使用的威胁狩猎场景指南,通过EDR和KQL分析安全事件。
Stars: 0 | Forks: 0
# 我的威胁狩猎场景:Tor 项目
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/Tochiughasoro/threat-hunting-scenario-tor-/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 10 虚拟机 (Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言 (KQL)
- Tor 浏览器
## 场景
管理层怀疑部分员工可能正在使用 TOR 浏览器来规避网络安全控制,因为最近的网络日志显示出异常的加密流量模式以及与已知 TOR 入口节点的连接。此外,还有匿名报告称员工在工作时间内讨论访问受限网站的方法。目标是检测任何 TOR 使用情况,并分析相关安全事件以减轻潜在风险。如果发现任何 TOR 使用,需通知管理层。
### 高层次 TOR 相关 IoC 发现计划
- **检查 `DeviceFileEvents`** 以查找任何包含 `tor(.exe)` 或 `firefox(.exe)` 的文件事件。
- **检查 `DeviceProcessEvents`** 以查找安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 以查找通过已知 TOR 端口进行出站连接的迹象。
## 采取的步骤
### 1. 搜索 `DeviceFileEvents` 表
搜索 DeviceFileEvents 表以查找文件名中包含字符串“tor”的任何文件,发现用户“greatness”似乎下载了一个 TOR 安装程序,执行的操作导致许多与 TOR 相关的文件被复制到桌面,并于 `2026-05-17T02:44:51.6251131Z` 在桌面上创建了一个名为 `tor-shoppoing-list.txt` 的文件。这些事件始于 `2026-05-18T15:17:41.9052062Z`。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "toks-threat-lab"
| where InitiatingProcessAccountName == "greatness"
| where FileName contains "tor"
| where Timestamp >= datetime(2026-05-18T15:17:41.9052062Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 搜索 `DeviceProcessEvents` 表
搜索 DeviceProcessEvents 表以查找 ProcessCommandLine 中包含字符串“tor-browser-windows-x86_64-portable-15.0.13.exe”的任何记录。根据返回的日志,在 `2026-05-18T16:20:45`,设备“toks-threat-lab”上的用户账户“greatness”从下载文件夹启动了文件 `tor-browser-windows-x86_64-portable-15.0.13.exe`,该文件通过触发静默安装的命令在系统上执行。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "toks-threat-lab"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.13.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 在 `DeviceProcessEvents` 表中搜索 TOR 浏览器执行记录
搜索用户“greatness”是否实际打开 TOR 浏览器的迹象。有证据表明,他们在 `2026-05-18T15:24:10.4878653Z` 确实打开了它。之后还出现了几次其他 `firefox.exe`(TOR)以及 `tor.exe` 的实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "toks-threat-lab"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 在 `DeviceNetworkEvents` 表中搜索 TOR 网络连接
搜索使用任何已知 TOR 端口建立连接的 tor 浏览器使用迹象。在 `2026-05-18T16:24:40`,设备“toks-threat-lab”上的用户账户“greatness”成功建立了一个网络连接,使用的 firefox.exe 位于 Tor 浏览器目录 `c:\Users\greatness\Desktop\Tor Browser\Browser\firefox.exe` 中。该浏览器通过端口 `9150` 连接到本地 IP 地址 `127.0.0.1`,这是 Tor 浏览器常用的本地 SOCKS 代理端口,表明浏览器正在通过端口 `443` 将流量路由通过 Tor 网络。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "toks-threat-lab"
| where InitiatingProcessAccountName != "system"
| where RemotePort in ("9030", "9040", "9050", "9051", "9053", "9061", "9150")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 按时间顺序排列的事件时间线
### 1. 文件下载 - TOR 安装程序
- **时间戳:** `2026-05-18T16:17:41.6065231Z`
- **事件:** 用户“greatness”将名为 `tor-browser-windows-x86_64-portable-15.0.13.exe` 的文件下载到下载文件夹。
- **动作:** 检测到文件下载。
- **文件路径:** `C:\Users\Greatness\Downloads\tor-browser-windows-x86_64-portable-15.0.13.exe`
此事件标志着 Tor 浏览器被引入端点的首个确认证据。
### 2. 进程执行 - TOR 浏览器安装
- **时间戳:** `2026-05-18T16:20:45.4484567Z`
- **事件:** 用户“greatness”以静默模式执行了文件 `tor-browser-windows-x86_64-portable-15.0.13.exe`,启动了 TOR 浏览器的后台安装。
- **动作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-15.0.13.exe /S`
- **文件路径:** `C:\Users\greatness\Downloads\tor-browser-windows-x86_64-portable-15.0.13.exe`
### 3. 进程执行 - TOR 浏览器启动
- **时间戳:** `2026-05-18T16:24:01.6357935Z`
- **事件:** 用户“greatness”打开了 TOR 浏览器。随后还创建了与 TOR 浏览器关联的进程,例如 `firefox.exe` 和 `tor.exe`,表明浏览器已成功启动。
- **动作:** 检测到 TOR 浏览器相关可执行文件的进程创建。
- **文件路径:** `C:\Users\greatness\Desktop\Tor Browser\Browser\TorBrowser\Tor\firefox.exe`
### 4. 网络连接 - TOR 网络
- **时间戳:** `2026-05-18T16:24:14.1246358Z`
- **事件:** 用户“greatness”使用 `tor.exe` 建立了到 IP `127.0.0.1` 端口 `9150` 的网络连接,确认了 TOR 浏览器的网络活动。
- **动作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `c:\users\greatness\desktop\tor browser\browser\torbrowser\tor\tor.exe`
### 5. 附加网络连接 - TOR 浏览器活动
- **时间戳:**`2026-05-18T16:24:Z` - 观察到一个成功的 Tor 相关网络连接。
- `2024-11-08T22:18:16Z` - 到 `127.0.0.1` 端口 `9150` 的本地连接。
- **事件:** 建立了额外的 TOR 网络连接,表明用户“greatness”通过 TOR 浏览器持续活动。
- **动作:** 检测到多次成功连接。
### 6. 文件创建 - TOR 购物清单
- **时间戳:** `2026-05-18T17:27:19.7259964Z`
- **事件:** 用户“greatness”在桌面上创建了一个名为 `tor-shopping-list.txt` 的文件,可能表明与其 TOR 浏览器活动相关的列表或笔记。
- **动作:** 检测到文件创建。
- **文件路径:** `C:\Users\employee\Desktop\tor-shopping-list.txt`
## 总结
调查确认,“toks-threat-lab”设备上的用户“greatness”启动并完成了 TOR 浏览器的安装。他们随后启动了浏览器,在 TOR 网络内建立了连接,并在桌面上创建了各种与 TOR 相关的文件,包括一个名为 `tor-shopping-list.txt` 的文件。这一系列活动表明,该用户主动安装、配置并使用了 TOR 浏览器,可能用于匿名浏览目的,并可能以“购物清单”文件的形式进行了记录。
## 采取的响应措施
已确认端点 `toks-threat-lab` 上用户 `greatness` 存在 TOR 使用行为。已隔离该设备,并通知了其直属经理。
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/Tochiughasoro/threat-hunting-scenario-tor-/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 10 虚拟机 (Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto 查询语言 (KQL)
- Tor 浏览器
## 场景
管理层怀疑部分员工可能正在使用 TOR 浏览器来规避网络安全控制,因为最近的网络日志显示出异常的加密流量模式以及与已知 TOR 入口节点的连接。此外,还有匿名报告称员工在工作时间内讨论访问受限网站的方法。目标是检测任何 TOR 使用情况,并分析相关安全事件以减轻潜在风险。如果发现任何 TOR 使用,需通知管理层。
### 高层次 TOR 相关 IoC 发现计划
- **检查 `DeviceFileEvents`** 以查找任何包含 `tor(.exe)` 或 `firefox(.exe)` 的文件事件。
- **检查 `DeviceProcessEvents`** 以查找安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 以查找通过已知 TOR 端口进行出站连接的迹象。
## 采取的步骤
### 1. 搜索 `DeviceFileEvents` 表
搜索 DeviceFileEvents 表以查找文件名中包含字符串“tor”的任何文件,发现用户“greatness”似乎下载了一个 TOR 安装程序,执行的操作导致许多与 TOR 相关的文件被复制到桌面,并于 `2026-05-17T02:44:51.6251131Z` 在桌面上创建了一个名为 `tor-shoppoing-list.txt` 的文件。这些事件始于 `2026-05-18T15:17:41.9052062Z`。
**用于定位事件的查询:**
```
DeviceFileEvents
| where DeviceName == "toks-threat-lab"
| where InitiatingProcessAccountName == "greatness"
| where FileName contains "tor"
| where Timestamp >= datetime(2026-05-18T15:17:41.9052062Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 搜索 `DeviceProcessEvents` 表
搜索 DeviceProcessEvents 表以查找 ProcessCommandLine 中包含字符串“tor-browser-windows-x86_64-portable-15.0.13.exe”的任何记录。根据返回的日志,在 `2026-05-18T16:20:45`,设备“toks-threat-lab”上的用户账户“greatness”从下载文件夹启动了文件 `tor-browser-windows-x86_64-portable-15.0.13.exe`,该文件通过触发静默安装的命令在系统上执行。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "toks-threat-lab"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.13.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 在 `DeviceProcessEvents` 表中搜索 TOR 浏览器执行记录
搜索用户“greatness”是否实际打开 TOR 浏览器的迹象。有证据表明,他们在 `2026-05-18T15:24:10.4878653Z` 确实打开了它。之后还出现了几次其他 `firefox.exe`(TOR)以及 `tor.exe` 的实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "toks-threat-lab"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 在 `DeviceNetworkEvents` 表中搜索 TOR 网络连接
搜索使用任何已知 TOR 端口建立连接的 tor 浏览器使用迹象。在 `2026-05-18T16:24:40`,设备“toks-threat-lab”上的用户账户“greatness”成功建立了一个网络连接,使用的 firefox.exe 位于 Tor 浏览器目录 `c:\Users\greatness\Desktop\Tor Browser\Browser\firefox.exe` 中。该浏览器通过端口 `9150` 连接到本地 IP 地址 `127.0.0.1`,这是 Tor 浏览器常用的本地 SOCKS 代理端口,表明浏览器正在通过端口 `443` 将流量路由通过 Tor 网络。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName == "toks-threat-lab"
| where InitiatingProcessAccountName != "system"
| where RemotePort in ("9030", "9040", "9050", "9051", "9053", "9061", "9150")
| project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath
| order by Timestamp desc
```
## 按时间顺序排列的事件时间线
### 1. 文件下载 - TOR 安装程序
- **时间戳:** `2026-05-18T16:17:41.6065231Z`
- **事件:** 用户“greatness”将名为 `tor-browser-windows-x86_64-portable-15.0.13.exe` 的文件下载到下载文件夹。
- **动作:** 检测到文件下载。
- **文件路径:** `C:\Users\Greatness\Downloads\tor-browser-windows-x86_64-portable-15.0.13.exe`
此事件标志着 Tor 浏览器被引入端点的首个确认证据。
### 2. 进程执行 - TOR 浏览器安装
- **时间戳:** `2026-05-18T16:20:45.4484567Z`
- **事件:** 用户“greatness”以静默模式执行了文件 `tor-browser-windows-x86_64-portable-15.0.13.exe`,启动了 TOR 浏览器的后台安装。
- **动作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-15.0.13.exe /S`
- **文件路径:** `C:\Users\greatness\Downloads\tor-browser-windows-x86_64-portable-15.0.13.exe`
### 3. 进程执行 - TOR 浏览器启动
- **时间戳:** `2026-05-18T16:24:01.6357935Z`
- **事件:** 用户“greatness”打开了 TOR 浏览器。随后还创建了与 TOR 浏览器关联的进程,例如 `firefox.exe` 和 `tor.exe`,表明浏览器已成功启动。
- **动作:** 检测到 TOR 浏览器相关可执行文件的进程创建。
- **文件路径:** `C:\Users\greatness\Desktop\Tor Browser\Browser\TorBrowser\Tor\firefox.exe`
### 4. 网络连接 - TOR 网络
- **时间戳:** `2026-05-18T16:24:14.1246358Z`
- **事件:** 用户“greatness”使用 `tor.exe` 建立了到 IP `127.0.0.1` 端口 `9150` 的网络连接,确认了 TOR 浏览器的网络活动。
- **动作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `c:\users\greatness\desktop\tor browser\browser\torbrowser\tor\tor.exe`
### 5. 附加网络连接 - TOR 浏览器活动
- **时间戳:**`2026-05-18T16:24:Z` - 观察到一个成功的 Tor 相关网络连接。
- `2024-11-08T22:18:16Z` - 到 `127.0.0.1` 端口 `9150` 的本地连接。
- **事件:** 建立了额外的 TOR 网络连接,表明用户“greatness”通过 TOR 浏览器持续活动。
- **动作:** 检测到多次成功连接。
### 6. 文件创建 - TOR 购物清单
- **时间戳:** `2026-05-18T17:27:19.7259964Z`
- **事件:** 用户“greatness”在桌面上创建了一个名为 `tor-shopping-list.txt` 的文件,可能表明与其 TOR 浏览器活动相关的列表或笔记。
- **动作:** 检测到文件创建。
- **文件路径:** `C:\Users\employee\Desktop\tor-shopping-list.txt`
## 总结
调查确认,“toks-threat-lab”设备上的用户“greatness”启动并完成了 TOR 浏览器的安装。他们随后启动了浏览器,在 TOR 网络内建立了连接,并在桌面上创建了各种与 TOR 相关的文件,包括一个名为 `tor-shopping-list.txt` 的文件。这一系列活动表明,该用户主动安装、配置并使用了 TOR 浏览器,可能用于匿名浏览目的,并可能以“购物清单”文件的形式进行了记录。
## 采取的响应措施
已确认端点 `toks-threat-lab` 上用户 `greatness` 存在 TOR 使用行为。已隔离该设备,并通知了其直属经理。