Consistent-0786/Threat-Hunting-Scenario-Tor
GitHub: Consistent-0786/Threat-Hunting-Scenario-Tor
该项目是一个用于威胁狩猎TOR使用情况的网络靶场,旨在帮助安全团队检测未经授权的匿名浏览器活动并应对相关风险。
Stars: 0 | Forks: 0
# 官方 [网络靶场](http://joshmadakor.tech/cyber-range) 项目
# 威胁狩猎报告:未经授权的TOR使用
- [场景创建](https://github.com/Consistent-0786/Threat-Hunting-Scenario-Tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 利用的平台与语言
## 场景描述
管理层怀疑部分员工可能正在使用TOR浏览器绕过网络安全控制,因为近期的网络日志显示存在异常的加密流量模式以及与已知TOR入口节点的连接。此外,已有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何TOR的使用情况,并分析相关的安全事件,以降低潜在风险。如果发现任何TOR使用行为,请通知管理层。
### 高级TOR相关IoC发现计划
- 检查 **`DeviceFileEvents`** 表,查找任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- 检查 **`DeviceProcessEvents`** 表,查找任何安装或使用迹象。
- 检查 **`DeviceNetworkEvents`** 表,查找任何通过已知TOR端口发出的连接迹象。
## 采取的步骤
### 2. 搜索 `DeviceProcessEvents` 表
搜索了包含字符串 "tor-browser-windows-x86_64-portable-15.0.4.exe" 的任何 `ProcessCommandLine`。根据返回的日志,在 `2026-04-22T13:52:08.2328648Z`,在 "karan-mde-vm-win" 设备上的一名员工从其“下载”文件夹运行了文件 `tor-browser-windows-x86_64-portable-15.0.10.exe`,使用的命令触发了静默安装。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName startswith "karan-mde-vm-"
| where TimeGenerated >= datetime(2026-04-22) and TimeGenerated < datetime(2026-04-23)
| where InitiatingProcessAccountName == "ice"
| where ProcessCommandLine contains "tor-browser-windows"
| project TimeGenerated, DeviceName, ActionType, FileName, ProcessCommandLine
| sort by TimeGenerated asc
```
### 3. 在 `DeviceProcessEvents` 表中搜索TOR浏览器执行情况
搜索了用户 "ice" 实际打开TOR浏览器的任何迹象。有证据表明,他们确实在 `2026-04-22T13:52:50.8619189Z` 打开了它。之后还出现了多个其他 `firefox.exe`(TOR)以及 `tor.exe` 的生成实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName startswith "karan-mde-vm-"
| where TimeGenerated >= datetime(2026-04-22) and TimeGenerated < datetime(2026-04-23)
| where InitiatingProcessAccountName == "ice"
| where ProcessCommandLine has_any("tor.exe","firefox.exe")
| project TimeGenerated, DeviceName, AccountName, ActionType, FolderPath, ProcessCommandLine, SHA256
| sort by TimeGenerated asc
```
### 4. 在 `DeviceNetworkEvents` 表中搜索TOR网络连接
搜索了TOR浏览器用于通过任何已知TOR端口建立连接的迹象。在 `2026-04-22T13:53:27.689983Z`,"karan-mde-vm-win" 设备上的一名员工成功连接到远程IP地址 `192.87.28.82` 的端口 `9001`。该连接由位于文件夹 `c:\users\ice\desktop\tor browser\browser\torbrowser\tor\tor.exe` 的进程 `tor.exe` 发起。还观察到通过端口 `443` 到其他站点的额外连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName startswith "karan-mde-vm-"
| where TimeGenerated >= datetime(2026-04-22) and TimeGenerated < datetime(2026-04-23)
| where InitiatingProcessFileName has_any ("tor.exe" , "firefox.exe")
| where RemotePort in (9001, 9030, 9040, 9050, 9051, 9150, 80, 443)
| project TimeGenerated , DeviceName , InitiatingProcessAccountName , ActionType = "ConnectionSuccess" , InitiatingProcessFileName, InitiatingProcessCommandLine , InitiatingProcessParentFileName , LocalIP , LocalPort , RemoteIP , RemotePort ,RemoteUrl
| sort by TimeGenerated asc
```
## 按时间顺序排列的事件时间线
### 1. 文件下载 - TOR安装程序
- **时间戳:** `2026-04-22T13:50:58.7246323Z`
- **事件:** 用户 "ice" 下载了一个名为 `tor-browser-windows-x86_64-portable-15.0.10.exe` 的文件到“下载”文件夹。
- **操作:** 检测到文件下载。
- **文件路径:** `C:\Users\ice\Downloads\tor-browser-windows-x86_64-portable-15.0.10.exe`
### 2. 进程执行 - TOR浏览器安装
- **时间戳:** `2026-04-22T13:52:08.2328648Z`
- **事件:** 用户 "ice" 以静默模式执行了文件 `tor-browser-windows-x86_64-portable-15.0.10.exe`,启动了TOR浏览器的后台安装。
- **操作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-15.0.10.exe /S`
- **文件路径:** `C:\Users\ice\Downloads\tor-browser-windows-x86_64-portable-15.0.10.exe`
### 3. 进程执行 - TOR浏览器启动
- **时间戳:** `2026-04-22T13:52:50.8619189Z`
- **事件:** 用户 "ice" 打开了TOR浏览器。随后,与TOR浏览器相关的进程(如 `firefox.exe` 和 `tor.exe`)也被创建,表明浏览器已成功启动。
- **操作:** 检测到TOR浏览器相关可执行文件的进程创建。
- **文件路径:** `C:\Users\ice\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe`
### 4. 网络连接 - TOR网络
- **时间戳:** `2026-04-22T13:53:27.689983Z`
- **事件:** 用户 "ice" 使用 `tor.exe` 建立了到IP `192.87.28.82` 端口 `9001` 的网络连接,确认了TOR浏览器的网络活动。
- **操作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `c:\users\ice\desktop\tor browser\browser\torbrowser\tor\tor.exe`
### 5. 附加网络连接 - TOR浏览器活动
- **时间戳:**
- `2026-04-22T13:53:01.8959252Z` - 连接到 `192.42.116.70` 的端口 `443`。
- `2026-04-22T13:53:27.689983Z` - 连接到 `192.87.28.82` 的端口 `9001`。
- **事件:** 建立了附加的TOR网络连接,表明用户 "ice" 通过TOR浏览器持续进行活动。
- **操作:** 检测到多次成功连接。
### 6. 文件创建 - TOR购物清单
- **时间戳:** `2026-04-22T14:05:22.5258022Z`
- **事件:** 用户 "ice" 在桌面上创建了一个名为 `tor-shopping-list.txt` 的文件,这可能是一份与其TOR浏览器活动相关的列表或笔记。
- **操作:** 检测到文件创建。
- **文件路径:** `C:\Users\ice\Desktop\tor-shopping-list.txt`
## 总结
"karan-mde-vm-win" 设备上的用户 "ice" 启动并完成了TOR浏览器的安装。他们随后启动了浏览器,在TOR网络中建立了连接,并在其桌面上创建了多个与TOR相关的文件,包括一个名为 `tor-shopping-list.txt` 的文件。这一系列活动表明,该用户主动安装、配置并使用了TOR浏览器,很可能用于匿名浏览目的,并可能以“购物清单”文件的形式进行了记录。
## 采取的响应措施
已在端点 `karan-mde-vm-win` 上由用户 `ice` 确认存在TOR使用情况。该设备已被隔离,并且已通知其直属经理。
# 威胁狩猎报告:未经授权的TOR使用
- [场景创建](https://github.com/Consistent-0786/Threat-Hunting-Scenario-Tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 利用的平台与语言
## 场景描述
管理层怀疑部分员工可能正在使用TOR浏览器绕过网络安全控制,因为近期的网络日志显示存在异常的加密流量模式以及与已知TOR入口节点的连接。此外,已有匿名举报称员工在工作时间讨论访问受限网站的方法。目标是检测任何TOR的使用情况,并分析相关的安全事件,以降低潜在风险。如果发现任何TOR使用行为,请通知管理层。
### 高级TOR相关IoC发现计划
- 检查 **`DeviceFileEvents`** 表,查找任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- 检查 **`DeviceProcessEvents`** 表,查找任何安装或使用迹象。
- 检查 **`DeviceNetworkEvents`** 表,查找任何通过已知TOR端口发出的连接迹象。
## 采取的步骤
### 2. 搜索 `DeviceProcessEvents` 表
搜索了包含字符串 "tor-browser-windows-x86_64-portable-15.0.4.exe" 的任何 `ProcessCommandLine`。根据返回的日志,在 `2026-04-22T13:52:08.2328648Z`,在 "karan-mde-vm-win" 设备上的一名员工从其“下载”文件夹运行了文件 `tor-browser-windows-x86_64-portable-15.0.10.exe`,使用的命令触发了静默安装。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName startswith "karan-mde-vm-"
| where TimeGenerated >= datetime(2026-04-22) and TimeGenerated < datetime(2026-04-23)
| where InitiatingProcessAccountName == "ice"
| where ProcessCommandLine contains "tor-browser-windows"
| project TimeGenerated, DeviceName, ActionType, FileName, ProcessCommandLine
| sort by TimeGenerated asc
```
### 3. 在 `DeviceProcessEvents` 表中搜索TOR浏览器执行情况
搜索了用户 "ice" 实际打开TOR浏览器的任何迹象。有证据表明,他们确实在 `2026-04-22T13:52:50.8619189Z` 打开了它。之后还出现了多个其他 `firefox.exe`(TOR)以及 `tor.exe` 的生成实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName startswith "karan-mde-vm-"
| where TimeGenerated >= datetime(2026-04-22) and TimeGenerated < datetime(2026-04-23)
| where InitiatingProcessAccountName == "ice"
| where ProcessCommandLine has_any("tor.exe","firefox.exe")
| project TimeGenerated, DeviceName, AccountName, ActionType, FolderPath, ProcessCommandLine, SHA256
| sort by TimeGenerated asc
```
### 4. 在 `DeviceNetworkEvents` 表中搜索TOR网络连接
搜索了TOR浏览器用于通过任何已知TOR端口建立连接的迹象。在 `2026-04-22T13:53:27.689983Z`,"karan-mde-vm-win" 设备上的一名员工成功连接到远程IP地址 `192.87.28.82` 的端口 `9001`。该连接由位于文件夹 `c:\users\ice\desktop\tor browser\browser\torbrowser\tor\tor.exe` 的进程 `tor.exe` 发起。还观察到通过端口 `443` 到其他站点的额外连接。
**用于定位事件的查询:**
```
DeviceNetworkEvents
| where DeviceName startswith "karan-mde-vm-"
| where TimeGenerated >= datetime(2026-04-22) and TimeGenerated < datetime(2026-04-23)
| where InitiatingProcessFileName has_any ("tor.exe" , "firefox.exe")
| where RemotePort in (9001, 9030, 9040, 9050, 9051, 9150, 80, 443)
| project TimeGenerated , DeviceName , InitiatingProcessAccountName , ActionType = "ConnectionSuccess" , InitiatingProcessFileName, InitiatingProcessCommandLine , InitiatingProcessParentFileName , LocalIP , LocalPort , RemoteIP , RemotePort ,RemoteUrl
| sort by TimeGenerated asc
```
## 按时间顺序排列的事件时间线
### 1. 文件下载 - TOR安装程序
- **时间戳:** `2026-04-22T13:50:58.7246323Z`
- **事件:** 用户 "ice" 下载了一个名为 `tor-browser-windows-x86_64-portable-15.0.10.exe` 的文件到“下载”文件夹。
- **操作:** 检测到文件下载。
- **文件路径:** `C:\Users\ice\Downloads\tor-browser-windows-x86_64-portable-15.0.10.exe`
### 2. 进程执行 - TOR浏览器安装
- **时间戳:** `2026-04-22T13:52:08.2328648Z`
- **事件:** 用户 "ice" 以静默模式执行了文件 `tor-browser-windows-x86_64-portable-15.0.10.exe`,启动了TOR浏览器的后台安装。
- **操作:** 检测到进程创建。
- **命令:** `tor-browser-windows-x86_64-portable-15.0.10.exe /S`
- **文件路径:** `C:\Users\ice\Downloads\tor-browser-windows-x86_64-portable-15.0.10.exe`
### 3. 进程执行 - TOR浏览器启动
- **时间戳:** `2026-04-22T13:52:50.8619189Z`
- **事件:** 用户 "ice" 打开了TOR浏览器。随后,与TOR浏览器相关的进程(如 `firefox.exe` 和 `tor.exe`)也被创建,表明浏览器已成功启动。
- **操作:** 检测到TOR浏览器相关可执行文件的进程创建。
- **文件路径:** `C:\Users\ice\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe`
### 4. 网络连接 - TOR网络
- **时间戳:** `2026-04-22T13:53:27.689983Z`
- **事件:** 用户 "ice" 使用 `tor.exe` 建立了到IP `192.87.28.82` 端口 `9001` 的网络连接,确认了TOR浏览器的网络活动。
- **操作:** 连接成功。
- **进程:** `tor.exe`
- **文件路径:** `c:\users\ice\desktop\tor browser\browser\torbrowser\tor\tor.exe`
### 5. 附加网络连接 - TOR浏览器活动
- **时间戳:**
- `2026-04-22T13:53:01.8959252Z` - 连接到 `192.42.116.70` 的端口 `443`。
- `2026-04-22T13:53:27.689983Z` - 连接到 `192.87.28.82` 的端口 `9001`。
- **事件:** 建立了附加的TOR网络连接,表明用户 "ice" 通过TOR浏览器持续进行活动。
- **操作:** 检测到多次成功连接。
### 6. 文件创建 - TOR购物清单
- **时间戳:** `2026-04-22T14:05:22.5258022Z`
- **事件:** 用户 "ice" 在桌面上创建了一个名为 `tor-shopping-list.txt` 的文件,这可能是一份与其TOR浏览器活动相关的列表或笔记。
- **操作:** 检测到文件创建。
- **文件路径:** `C:\Users\ice\Desktop\tor-shopping-list.txt`
## 总结
"karan-mde-vm-win" 设备上的用户 "ice" 启动并完成了TOR浏览器的安装。他们随后启动了浏览器,在TOR网络中建立了连接,并在其桌面上创建了多个与TOR相关的文件,包括一个名为 `tor-shopping-list.txt` 的文件。这一系列活动表明,该用户主动安装、配置并使用了TOR浏览器,很可能用于匿名浏览目的,并可能以“购物清单”文件的形式进行了记录。
## 采取的响应措施
已在端点 `karan-mde-vm-win` 上由用户 `ice` 确认存在TOR使用情况。该设备已被隔离,并且已通知其直属经理。标签:TOR浏览器检测, 加密流量分析, 匿名网络威胁, 合规性监控, 员工行为分析, 威胁情报, 安全事件响应, 安全信息与事件管理, 安全合规, 开发者工具, 搜索引擎爬取, 文件事件分析, 端点安全, 网络代理, 网络安全, 网络安全监控, 网络端口监控, 补丁管理, 隐私保护, 驱动开发