EihabKK/threat-hunting-scenario-tor-
GitHub: EihabKK/threat-hunting-scenario-tor-
该仓库记录了一次针对端点上未经授权 TOR Browser 使用的威胁狩猎实战过程,完整展示了从文件审计、进程追踪到网络连接分析的调查闭环。
Stars: 0 | Forks: 0
# 🧅 威胁狩猎报告:未经授权的 TOR 使用
### 官方实习 [网络靶场](http://joshmadakor.tech/cyber-range) 项目
[](#使用的平台和语言)
[](#使用的平台和语言)
[](#使用的平台和语言)
[](#采取的响应措施)
**📄 相关内容:** [场景创建](https://github.com/EihabKK/threat-hunting-scenario-tor-/blob/main/threat-hunting-scenario-tor-event-creation.md)
[](#使用的平台和语言)
[](#使用的平台和语言)
[](#使用的平台和语言)
[](#采取的响应措施)
**📄 相关内容:** [场景创建](https://github.com/EihabKK/threat-hunting-scenario-tor-/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 📑 目录 - [使用的平台和语言](#platforms-and-languages-leveraged) - [场景](#-scenario) - [采取的步骤](#-steps-taken) - [事件时间线](#-timeline-of-events) - [总结](#-summary) - [采取的响应措施](#-response-taken) ## 使用的平台和语言 | 组件 | 详情 | |---|---| | 🖥️ 环境 | Windows 11 虚拟机 (Microsoft Azure) | | 🛡️ EDR 平台 | Microsoft Defender for Endpoint | | 🔎 查询语言 | Kusto Query Language (KQL) | | 🧅 调查范围内的应用程序 | Tor Browser | ## 🎯 场景 ### 🗺️ 高层级 TOR 相关 IoC 发现计划 | 步骤 | 表 | 目标 | |---|---|---| | 1 | `DeviceFileEvents` | 检查是否有任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件 | | 2 | `DeviceProcessEvents` | 检查是否有安装或使用的迹象 | | 3 | `DeviceNetworkEvents` | 检查是否有通过已知 TOR 端口进行传出连接的迹象 | ## 🔍 采取的步骤 ### 1️⃣ 搜索 `DeviceFileEvents` 表 在 DeviceFileEvents 表中搜索任何包含字符串“tor”的文件,发现用户“ekvm”似乎下载了一个 tor 安装程序,并执行了某些操作,导致许多与 tor 相关的文件被复制到桌面,并在 2026-07-11T08:18:54.9073293Z 于桌面上创建了一个名为“tor-shopping-list.txt”的文件。
▶ 用于定位事件的查询
``` DeviceFileEvents |where DeviceName == "ekvm" | where FileName has_any ("tor") | order by Timestamp desc | project Timestamp, DeviceName, ActionType, FileName, SHA256, InitiatingProcessAccountName ```▶ 用于定位事件的查询
``` DeviceProcessEvents | where DeviceName == "ekvm" |where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.17.exe" | project Timestamp, DeviceName, ActionType, AccountName, SHA256, ProcessCommandLine ```▶ 用于定位事件的查询
``` DeviceProcessEvents | where DeviceName == "ekvm" | where FileName has_any ("tor.exe","firefox.exe","tor-browser.exe","start-tor-browser.exe","torbrowser.exe","tor-browser-windows-x86_64-*.exe","tor-browser-windows-i686-*.exe","tor-browser-windows-x86_64-portable-*.exe","firefox.real.exe","plugin-container.exe") | project Timestamp, DeviceName, ActionType, AccountName, SHA256,FolderPath, ProcessCommandLine | order by Timestamp desc ```▶ 用于定位事件的查询
``` DeviceNetworkEvents |where DeviceName == "ekvm" |where InitiatingProcessAccountName != "system" | where RemotePort in (80,443,9001,9030,9040,9050,9051,9150) | where InitiatingProcessFileName has_any ("tor.exe", "firefox.exe") | project Timestamp, DeviceName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessAccountName, InitiatingProcessFolderPath |order by Timestamp desc ```
*报告结束*
标签:KQL, Kusto Query Language, Microsoft Defender, Tor, Windows 调试器, 安全报告