gkaranz/Threat-Hunting-Scenario-TOR

# 威胁狩猎报告：未经授权使用 TOR - [场景创建](https://github.com/NoahPageIT/threat-hunting-scenario-tor-/blob/main/threat-hunting-scenario-tor-event-creation.md) ## 使用的平台和语言 - Windows 11 虚拟机：Microsoft Azure - EDR 平台：Microsoft Defender for Endpoint - 查询语言：Kusto Query Language - 调查的应用程序：Tor Browser ## 场景 管理层怀疑一些员工可能在使用 Tor Browser 绕过网络安全控制。近期的网络日志显示了不寻常的加密流量模式以及与 Tor 相关基础设施的可能连接。还有匿名报告称，员工讨论了在工作时间访问受限网站的方法。 本次调查的目的是确认是否在受监控的终端上下载、安装、执行了 Tor Browser，或使用其建立了外部网络连接。如果确认使用了 Tor，调查结果将被记录并上报给管理层。 ### 高层级 TOR 相关 IoC 发现计划 - **检查 `DeviceFileEvents`** 以查找任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。 - **检查 `DeviceProcessEvents`** 以查找任何安装或使用的迹象。 - **检查 `DeviceNetworkEvents`** 以查找通过已知 TOR 端口的传出连接迹象。 ## 采取的步骤 ### 1. 搜索了 *DeviceFileEvents* 表 在 DeviceFileEvents 表中针对设备 lab-gk 上包含字符串 tor 的文件执行了搜索。 结果显示，用户 karan 从 Downloads 文件夹下载并执行了 Tor Browser 安装程序。该文件随后从以下路径删除：C:\Users\karan\Downloads\tor-browser-windows-x86_64-portable-15.0.15.exe 其他文件活动显示，Tor Browser 相关文件是在 Desktop 路径下创建的： C:\Users\karan\Desktop\Tor Browser\Browser\TorBrowser\... 证据表明，Tor Browser 被解压或安装到了用户的 Desktop 上，并创建了多个支持文件和快捷方式。 **用于定位事件的查询：** ``` DeviceFileEvents | where DeviceName == "lab-gk" | where InitiatingProcessAccountName == “karan” | where FileName contains "tor" | order by Timestamp desc | project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName ``` ### 2. 搜索了 *DeviceProcessEvents* 表 在 DeviceProcessEvents 表中针对包含 tor-browser 的进程命令行执行了搜索。 日志显示，用户 karan 执行了 Tor Browser 便携版安装程序：tor-browser-windows-x86_64-portable-15.0.15.exe 这证实了 Tor Browser 安装程序已在终端上执行。 **用于定位事件的查询：** ``` DeviceProcessEvents | where DeviceName == "lab-gk" | where ProcessCommandLine contains "tor-browser" | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine ``` ### 3. 在 *DeviceProcessEvents* 表中搜索 TOR Browser 执行情况 执行了后续搜索以识别 Tor 相关进程的执行情况。 结果显示，tor.exe 是从位于用户 Desktop 上的 Tor Browser 目录中执行的： C:\Users\karan\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe 日志还显示了多个 firefox.exe 实例，这是符合预期的，因为 Tor Browser 使用了修改过的基于 Firefox 的浏览器进程。 在 Tor 执行后不久，观察到几个 firefox.exe 子/内容进程，包括命令行参数，例如：-contentproc -isForBrowser 这证实了 Tor Browser 不仅被安装，而且被积极启动和使用。 **用于定位事件的查询：** ``` DeviceProcessEvents | where DeviceName == "lab-gk" | where FileName has_any ("tor.exe", "torbrowser.exe", "firefox.exe") | project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine | order by Timestamp desc ``` ### 4. 在 *DeviceNetworkEvents* 表中搜索 TOR 网络连接 在 DeviceNetworkEvents 表中针对由 tor.exe 或 firefox.exe 发起的外部网络连接执行了搜索。 日志显示了由 Tor 相关进程发起的几个成功的网络连接。 观察到的显著活动包括： - tor.exe 成功通过端口 9001 连接到远程 IP 57.129.17.163 - tor.exe 成功通过端口 443 连接到远程 IP 89.58.54.129 - tor.exe 尝试通过端口 9002 连接远程 IP 2.58.52.163 但失败 - firefox.exe 在端口 9150 和 9151 上建立了到 127.0.0.1 的本地连接 在端口 9150 和 9151 上到 127.0.0.1 的本地环回连接与 Tor Browser 的本地 SOCKS/控制通信行为一致。通过端口 9001、9002 和 443 的外部连接进一步支持了 Tor 的活跃使用。 **用于定位事件的查询：** ``` DeviceNetworkEvents | where DeviceName == "lab-gk" | where InitiatingProcessAccountName != "system" | where InitiatingProcessFileName in ("tor.exe", "firefox.exe") | where RemotePort in ("9001", "9002", "9030", "9031", "9040", "9050", "9051", "9150", "9151", "9999", "80", "443") | project Timestamp, DeviceName, InitiatingProcessAccountName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessFolderPath | order by Timestamp desc ``` ## 事件时间线 - 2026 年 6 月 7 日，在设备 lab-gk 上的用户账户 karan 下发现了 Tor Browser 活动。 - 17:54:33，Tor Browser 安装程序文件 tor-browser-windows-x86_64-portable-15.0.15.exe 出现在用户的 Downloads 文件夹中。这是 Tor Browser 已下载到终端的第一个迹象。 - 17:54:54，用户 karan 从 Downloads 文件夹执行了 Tor Browser 安装程序。大约在同一时间，安装程序文件从 C:\Users\karan\Downloads\ 被删除，这表明该安装程序可能在应用程序安装完成后被移除了。 - 17:55:10，Desktop 下的 Tor Browser 目录中创建了多个 Tor Browser 支持和许可证文件。这些文件包括 tor.txt、Torbutton.txt 和 Tor-Launcher.txt。此活动表明 Tor Browser 文件正被安装到系统上。 - 17:55:11，文件 tor.exe 在路径 C:\Users\karan\Desktop\Tor Browser\Browser\TorBrowser\Tor\ 中创建。这非常重要，因为 tor.exe 是 Tor Browser 用于连接到 Tor 网络的主可执行文件。 - 17:55:16，桌面上创建了一个 Tor Browser 快捷方式。17:55:34，“开始”菜单中又创建了一个 Tor Browser 快捷方式。这些快捷方式的创建表明 Tor Browser 已被安装或准备好供用户常规访问。 - 17:55:43 和 17:55:46，Tor Browser 配置数据库文件（包括 storage.sqlite 和 storage-sync-v2.sqlite）在 Tor Browser 配置文件目录中创建。这表明浏览器配置文件已被初始化。 - 17:55:34，Tor Browser 自带的 firefox.exe 进程被启动。Tor Browser 是基于 Firefox 的，因此此进程活动表明浏览器已被用户打开。在 17:55:44 到 17:59:27 之间，创建了多个 firefox.exe 子进程，这与浏览器运行时正常的 Tor Browser 活动一致。 - 17:55:48，tor.exe 从 Desktop 上的 Tor Browser 目录中启动。这证实了 Tor 服务进程已启动。 - 17:55:49，firefox.exe 成功连接到端口 9151 上的 127.0.0.1。17:56:17，firefox.exe 尝试连接到端口 9150 上的 127.0.0.1，但连接失败。17:57:20，firefox.exe 成功连接到端口 9150 上的 127.0.0.1。这些 localhost 连接与 Tor Browser 与其本地 Tor 代理服务通信一致。 - 17:56:46，tor.exe 成功连接到端口 9001 上的远程 IP 地址 57.129.17.163。17:57:20 和 17:57:23，tor.exe 成功连接到端口 443 上的远程 IP 地址 89.58.54.129。 - 17:57:41，tor.exe 尝试连接到端口 9002 上的远程 IP 地址 2.58.52.163，但连接失败。这些外部连接表明终端上存在 Tor 相关的网络活动。 总体而言，这些活动遵循了一个清晰的顺序：Tor Browser 被下载、执行、安装、启动，随后用于发起本地和外部的 Tor 相关网络连接。这证实了用户 karan 在设备 lab-gk 上使用了 Tor Browser。 ## 总结 2026 年 6 月 7 日，设备 lab-gk 上的用户 karan 进行了与未经授权使用 Tor Browser 相符的活动。 大约下午 5:54，用户从 Downloads 文件夹执行了 Tor Browser 安装程序。几分钟内，桌面上创建了 Tor Browser 文件，包括 tor.exe、浏览器配置文件和快捷方式。随后浏览器通过其自带的 firefox.exe 进程启动，紧接着执行了 tor.exe。 网络日志证实了 Tor 相关的活动，包括在端口 9150 和 9151 上到 127.0.0.1 的本地连接，以及由 tor.exe 通过端口 9001、9002 和 443 向外部 IP 地址发起的传出连接。 从安装到网络活动的一系列过程发生在不到五分钟的时间内，表明这是有意使用而非意外活动。这证实了存在未经授权使用 Tor Browser 的情况，设备已被隔离，并且已通知该用户的直接主管。

标签：EDR, KQL, 安全运营, 扫描框架, 数字取证, 脆弱性评估, 自动化脚本