EihabKK/threat-hunting-scenario-tor-

GitHub: EihabKK/threat-hunting-scenario-tor-

该仓库记录了一次针对端点上未经授权 TOR Browser 使用的威胁狩猎实战过程,完整展示了从文件审计、进程追踪到网络连接分析的调查闭环。

Stars: 0 | Forks: 0

# 🧅 威胁狩猎报告:未经授权的 TOR 使用 ### 官方实习 [网络靶场](http://joshmadakor.tech/cyber-range) 项目 Tor Logo with the onion and a crosshair on it [![Platform](https://img.shields.io/badge/Platform-Microsoft%20Azure-0078D4?style=flat-square&logo=microsoftazure&logoColor=white)](#使用的平台和语言) [![EDR](https://img.shields.io/badge/EDR-Microsoft%20Defender%20for%20Endpoint-00A4EF?style=flat-square&logo=windowsdefender&logoColor=white)](#使用的平台和语言) [![Query Language](https://img.shields.io/badge/Query%20Language-KQL-4479A1?style=flat-square)](#使用的平台和语言) [![Status](https://img.shields.io/badge/Status-Resolved-success?style=flat-square)](#采取的响应措施) **📄 相关内容:** [场景创建](https://github.com/EihabKK/threat-hunting-scenario-tor-/blob/main/threat-hunting-scenario-tor-event-creation.md)

## 📑 目录 - [使用的平台和语言](#platforms-and-languages-leveraged) - [场景](#-scenario) - [采取的步骤](#-steps-taken) - [事件时间线](#-timeline-of-events) - [总结](#-summary) - [采取的响应措施](#-response-taken) ## 使用的平台和语言 | 组件 | 详情 | |---|---| | 🖥️ 环境 | Windows 11 虚拟机 (Microsoft Azure) | | 🛡️ EDR 平台 | Microsoft Defender for Endpoint | | 🔎 查询语言 | Kusto Query Language (KQL) | | 🧅 调查范围内的应用程序 | Tor Browser | ## 🎯 场景 ### 🗺️ 高层级 TOR 相关 IoC 发现计划 | 步骤 | 表 | 目标 | |---|---|---| | 1 | `DeviceFileEvents` | 检查是否有任何 `tor(.exe)` 或 `firefox(.exe)` 文件事件 | | 2 | `DeviceProcessEvents` | 检查是否有安装或使用的迹象 | | 3 | `DeviceNetworkEvents` | 检查是否有通过已知 TOR 端口进行传出连接的迹象 | ## 🔍 采取的步骤 ### 1️⃣ 搜索 `DeviceFileEvents` 表 在 DeviceFileEvents 表中搜索任何包含字符串“tor”的文件,发现用户“ekvm”似乎下载了一个 tor 安装程序,并执行了某些操作,导致许多与 tor 相关的文件被复制到桌面,并在 2026-07-11T08:18:54.9073293Z 于桌面上创建了一个名为“tor-shopping-list.txt”的文件。
▶ 用于定位事件的查询 ``` DeviceFileEvents |where DeviceName == "ekvm" | where FileName has_any ("tor") | order by Timestamp desc | project Timestamp, DeviceName, ActionType, FileName, SHA256, InitiatingProcessAccountName ```
image ### 2️⃣ 搜索 `DeviceProcessEvents` 表 在 DeviceProcessEvents 表中搜索任何包含字符串“tor-browser-windows-x86_64-portable-15.0.17.exe /S”的 ProcessCommandLine。根据返回的日志,在 2026-07-11T08:12:07.8552813Z,设备“ekvm”上的一名员工从其 Downloads 文件夹中运行了 tor-browser-windows-x86_64-portable-15.0.17.exe /S 文件,使用的命令触发了一次静默安装。
▶ 用于定位事件的查询 ``` DeviceProcessEvents | where DeviceName == "ekvm" |where ProcessCommandLine contains "tor-browser-windows-x86_64-portable-15.0.17.exe" | project Timestamp, DeviceName, ActionType, AccountName, SHA256, ProcessCommandLine ```
image ### 3️⃣ 在 `DeviceProcessEvents` 表中搜索 TOR Browser 执行情况 在 DeviceProcessEvents 表中搜索任何表明用户“employee”实际打开了 tor browser 的迹象。有证据表明他们确实在 2026-07-11T08:12:43.7777455Z 打开了它。随后还衍生出了几个 firefox.exe (Tor) 以及 tor.exe 的实例。
▶ 用于定位事件的查询 ``` DeviceProcessEvents | where DeviceName == "ekvm" | where FileName has_any ("tor.exe","firefox.exe","tor-browser.exe","start-tor-browser.exe","torbrowser.exe","tor-browser-windows-x86_64-*.exe","tor-browser-windows-i686-*.exe","tor-browser-windows-x86_64-portable-*.exe","firefox.real.exe","plugin-container.exe") | project Timestamp, DeviceName, ActionType, AccountName, SHA256,FolderPath, ProcessCommandLine | order by Timestamp desc ```
image ### 4️⃣ 在 `DeviceNetworkEvents` 表中搜索 TOR 网络连接 在 DeviceNetworkEvents 表中搜索是否有迹象表明 tor browser 被用于通过任何已知的 tor 端口建立连接。在 2026-07-11T08:12:54.0719267Z,设备 ekvm 成功通过端口 9001 与远程 IP 地址 141.105.130.172 建立了网络连接。该连接是由 Tor 进程 (tor.exe) 发起的,该进程在 ekvm 用户帐户下运行,目录为 C:\Users\ekvm\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe。这表明设备上安装的 Tor Browser 正在与 Tor 网络中继进行主动通信。
▶ 用于定位事件的查询 ``` DeviceNetworkEvents |where DeviceName == "ekvm" |where InitiatingProcessAccountName != "system" | where RemotePort in (80,443,9001,9030,9040,9050,9051,9150) | where InitiatingProcessFileName has_any ("tor.exe", "firefox.exe") | project Timestamp, DeviceName, ActionType, RemoteIP, RemotePort, RemoteUrl, InitiatingProcessFileName, InitiatingProcessAccountName, InitiatingProcessFolderPath |order by Timestamp desc ```
image ## 🕒 事件时间线 ### 1. TOR 安装程序下载 **时间戳:** `2026-07-11T04:10:25Z – 2026-07-11T04:10:30Z` **事件:** 用户 **“ekvm”** 在本地系统上准备并创建了一个名为 **tor-browser-windows-x86_64-portable-15.0.17.exe** 的文件。 **操作:** 检测到文件重命名和文件创建。 **文件路径:** `C:\Users\ekvm\Downloads\tor-browser-windows-x86_64-portable-15.0.17.exe` ### 2. 静默安装 TOR **时间戳:** `2026-07-11T04:12:07Z` **事件:** 用户 **“ekvm”** 以静默模式执行了 **tor-browser-windows-x86_64-portable-15.0.17.exe**,启动了 TOR Browser 的后台安装。 **操作:** 检测到进程创建。 **命令:** `tor-browser-windows-x86_64-portable-15.0.17.exe /S` **文件路径:** `C:\Users\ekvm\Downloads\tor-browser-windows-x86_64-portable-15.0.17.exe` ### 3. 执行 TOR Browser **时间戳:** `2026-07-11T04:12:43Z` **事件:** 用户 **“ekvm”** 启动了 **TOR Browser**。包括 **firefox.exe** 和 **tor.exe** 在内的关联进程被创建,确认成功启动。 **操作:** 检测到 TOR Browser 相关可执行文件的进程创建。 **文件路径:** `C:\Users\EKVM\Desktop\Tor Browser\Browser\tor.exe` ### 4. 初始 TOR 网络连接 **时间戳:** `2026-07-11T04:12:50Z` **事件:** **tor.exe** 建立了到 **178.239.17.187:9001** 的网络连接,确认了 TOR 网络活动。 **操作:** 连接成功。 **进程:** `tor.exe` **文件路径:** `C:\Users\EKVM\Desktop\Tor Browser\Browser\tor.exe` ### 5. 其他 TOR 中继连接 **时间戳:** - **2026-07-11T04:12:51Z** – 通过 **端口 9001** 连接到远程中继 - **2026-07-11T04:12:54Z** – 连接到 **136.243.92.194:9001** - **2026-07-11T04:12:54Z** – 连接到 **141.105.130.172:9001** - **2026-07-11T04:13:03Z** – 本地连接到 **127.0.0.1:9150** **事件:** 建立了其他 TOR 中继连接,表明 TOR Browser 活动持续进行。 **操作:** 检测到多个成功连接。 ### 6. 创建 TOR 购物清单 **时间戳:** `2026-07-11T04:18:54Z` **事件:** 用户 **“ekvm”** 在桌面上创建了一个名为 **tor shopping list.txt** 的文件。 **操作:** 检测到文件创建。 **文件路径:** `C:\Users\EKVM\Desktop\tor shopping list.txt` ## 📋 总结 ## ✅ 采取的响应措施 **已确认端点 EKVM 上存在 TOR 使用情况。** 该设备已被隔离,并已通知用户的直属经理。
*报告结束*
标签:KQL, Kusto Query Language, Microsoft Defender, Tor, Windows 调试器, 安全报告