EricNMass/threat-hunting-scenario-tor
GitHub: EricNMass/threat-hunting-scenario-tor
一个基于 Microsoft Defender for Endpoint 和 KQL 的威胁狩猎实验,演示如何检测和调查内网中未经授权的 Tor Browser 使用行为。
Stars: 0 | Forks: 0
# 威胁狩猎实验室
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/EricNMass/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 11 虚拟机 (Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto Query Language (KQL)
- Tor Browser
## 场景
管理层对员工可能利用 Tor Browser 规避既定网络安全措施的现象提出了担忧。这种担忧源于观察到的异常加密网络流量,以及与 Tor 网络相关的基础设施的连接。此外,有报告指出,一些员工可能在寻找方法,以便在工作时间访问通常受限的网站。
本次调查的目标是识别任何 Tor Browser 使用实例,分析相关活动,并评估对组织的任何潜在安全风险。如果发现 Tor 使用的证据,应记录调查结果并上报给管理层。
### 高层级 TOR 相关 IoC 发现计划
- **检查 `DeviceFileEvents`** 以查找任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 以查找任何安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 以查找通过已知 TOR 端口进行传出连接的任何迹象。
## 采取的步骤
### 1. 搜索 `DeviceFileEvents` 表
在 DeviceFileEvents 表中搜索任何包含字符串 “tor” 的文件,发现用户 “employee” 似乎下载了一个 tor 安装程序,执行了某些导致许多 tor 相关文件被复制到桌面的操作,并在 2026-06-23T00:05:17.599296Z 这个时间在桌面上创建了一个名为 “tor-shopping-list.txt” 的文件。这些事件始于:2026-06-22T23:45:08.473708Z。
**用于定位事件的查询:**
```
DeviceFileEvents
| where FileName startswith "tor"
| where DeviceName == "the-real-mass-t"
| where Timestamp >= datetime(2026-06-22T23:45:08.473708Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 搜索 `DeviceProcessEvents` 表
搜索了任何包含字符串 "tor-browser-windows-x86_64-portable-14.0.1.exe" 的 `ProcessCommandLine`。根据返回的日志,在 `2024-11-08T22:16:47.4484567Z`,“threat-hunt-lab” 设备上的一名员工从其 Downloads 文件夹中运行了文件 `tor-browser-windows-x86_64-portable-14.0.1.exe`,所使用的命令触发了静默安装。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-14.0.1.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 在 `DeviceProcessEvents` 表中搜索 TOR 浏览器执行情况
搜索了用户 “employee” 实际打开 TOR 浏览器的任何迹象。有证据表明他们确实在 `2024-11-08T22:17:21.6357935Z` 打开了它。随后还生成了几个其他 `firefox.exe` (TOR) 以及 `tor.exe` 实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 在 `DeviceNetworkEvents` 表中搜索 TOR 网络连接
搜索了使用任何已知 TOR 端口通过 TOR 浏览器建立连接的任何迹象。在 `2024-11-08T22:18:01.1246358Z`,“threat-hunt-lab” 设备上的一名员工成功在端口 `9001`
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/EricNMass/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 11 虚拟机 (Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto Query Language (KQL)
- Tor Browser
## 场景
管理层对员工可能利用 Tor Browser 规避既定网络安全措施的现象提出了担忧。这种担忧源于观察到的异常加密网络流量,以及与 Tor 网络相关的基础设施的连接。此外,有报告指出,一些员工可能在寻找方法,以便在工作时间访问通常受限的网站。
本次调查的目标是识别任何 Tor Browser 使用实例,分析相关活动,并评估对组织的任何潜在安全风险。如果发现 Tor 使用的证据,应记录调查结果并上报给管理层。
### 高层级 TOR 相关 IoC 发现计划
- **检查 `DeviceFileEvents`** 以查找任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件。
- **检查 `DeviceProcessEvents`** 以查找任何安装或使用的迹象。
- **检查 `DeviceNetworkEvents`** 以查找通过已知 TOR 端口进行传出连接的任何迹象。
## 采取的步骤
### 1. 搜索 `DeviceFileEvents` 表
在 DeviceFileEvents 表中搜索任何包含字符串 “tor” 的文件,发现用户 “employee” 似乎下载了一个 tor 安装程序,执行了某些导致许多 tor 相关文件被复制到桌面的操作,并在 2026-06-23T00:05:17.599296Z 这个时间在桌面上创建了一个名为 “tor-shopping-list.txt” 的文件。这些事件始于:2026-06-22T23:45:08.473708Z。
**用于定位事件的查询:**
```
DeviceFileEvents
| where FileName startswith "tor"
| where DeviceName == "the-real-mass-t"
| where Timestamp >= datetime(2026-06-22T23:45:08.473708Z)
| order by Timestamp desc
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, SHA256, Account = InitiatingProcessAccountName
```
### 2. 搜索 `DeviceProcessEvents` 表
搜索了任何包含字符串 "tor-browser-windows-x86_64-portable-14.0.1.exe" 的 `ProcessCommandLine`。根据返回的日志,在 `2024-11-08T22:16:47.4484567Z`,“threat-hunt-lab” 设备上的一名员工从其 Downloads 文件夹中运行了文件 `tor-browser-windows-x86_64-portable-14.0.1.exe`,所使用的命令触发了静默安装。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-14.0.1.exe"
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
```
### 3. 在 `DeviceProcessEvents` 表中搜索 TOR 浏览器执行情况
搜索了用户 “employee” 实际打开 TOR 浏览器的任何迹象。有证据表明他们确实在 `2024-11-08T22:17:21.6357935Z` 打开了它。随后还生成了几个其他 `firefox.exe` (TOR) 以及 `tor.exe` 实例。
**用于定位事件的查询:**
```
DeviceProcessEvents
| where DeviceName == "threat-hunt-lab"
| where FileName has_any ("tor.exe", "firefox.exe", "tor-browser.exe")
| project Timestamp, DeviceName, AccountName, ActionType, FileName, FolderPath, SHA256, ProcessCommandLine
| order by Timestamp desc
```
### 4. 在 `DeviceNetworkEvents` 表中搜索 TOR 网络连接
搜索了使用任何已知 TOR 端口通过 TOR 浏览器建立连接的任何迹象。在 `2024-11-08T22:18:01.1246358Z`,“threat-hunt-lab” 设备上的一名员工成功在端口 `9001`标签:KQL, Microsoft Defender, 安全运营, 扫描框架, 网络安全, 隐私保护