Peter Titov

TOR Exit Node Monitoring Übersicht

So erkennen Sie TOR-Aktivitäten in Ihrem Netzwerk

6 Minuten LesezeitAktivierung
TOR Exit Node Monitoring Übersicht

Warum die Überwachung der TOR-Exit-Node-Aktivität wichtig ist

In der heutigen komplexen Cybersicherheitslandschaft ist die Überwachung der TOR (The Onion Router) Exit-Node-Aktivität eines der am meisten übersehenen, aber entscheidenden Elemente bei der proaktiven Bedrohungserkennung. TOR ermöglicht anonyme Kommunikation und dient zwar legitimen Datenschutzinteressen, bietet aber auch Deckung für Cyberkriminelle, Malware-Kampagnen und Datenexfiltration.

Was sind TOR-Exit-Nodes?

TOR-Exit-Nodes sind die letzten Relaispunkte im TOR-Netzwerk, an denen verschlüsselter Datenverkehr ins offene Internet gelangt. Wenn ein Benutzer anonym über TOR im Internet surft, sieht die Website oder der Dienst, auf den er zugreift, die IP-Adresse des Exit-Nodes und nicht die tatsächliche IP-Adresse des Benutzers.

Mit anderen Worten: Jeglicher Netzwerkverkehr, der von einem TOR-Exit-Node ausgeht, ist ohne die Mitwirkung des TOR-Netzwerks nicht zu seinem Ursprung zurückverfolgbar, was systembedingt unwahrscheinlich ist.

Warum das für Sie von Belang ist?

Obwohl nicht alle Aktivitäten im TOR-Netzwerk bösartig sind, nutzt ein erheblicher Teil des bösartigen Datenverkehrs TOR, um seinen Ursprung zu verschleiern. Darum ist es wichtig:

  1. Anonymisierte Aufklärung: Angreifer führen häufig Scans und Sondierungen von TOR-Exit-Nodes aus durch. Wenn jemand Ihre Infrastruktur mithilfe von TOR kartiert, bereitet er möglicherweise einen Angriffsversuch vor und bleibt dabei anonym.

  2. Command-and-Control-Kanäle (C2): Viele Malware-Familien nutzen TOR für die C2-Kommunikation, was es schwierig macht, den infizierten Endpunkt zu seinem Controller zurückzuverfolgen.

  3. Datenexfiltration: TOR ist ein häufig genutzter Kanal, um sensible Daten aus einer Organisation zu exfiltrieren. Wenn sensible Dateien über TOR an externe Endpunkte hochgeladen werden, sind Sie möglicherweise bereits kompromittiert.

  4. Compliance-Risiken: Einige Branchen (z. B. Gesundheitswesen, Finanzwesen) erfordern strenge Datenverarbeitungs- und Zugriffskontrollen. Das Zulassen oder Ignorieren von Datenverkehr aus dem TOR-Netzwerk könnte gegen diese Richtlinien oder Branchenvorschriften verstoßen.

Sie sollten nach jeglichen Interaktionen zwischen TOR-Exit-Nodes und Folgendem suchen:

  • host.ip
  • server.ip
  • Ziel-IP
  • source.ip
  • client.ip

Dies kann in Protokollen von Firewalls, DNS, Proxys, Endpoint-Agents, Cloud-Zugriffsprotokollen und mehr auftreten.

Wie man TOR-Exit-Nodes überwacht

Um die Aktivitäten von TOR Exit Nodes zu erfassen, zu überwachen, Alarme auszulösen und darüber zu berichten, müssen wir zunächst einige Komponenten erstellen, nämlich eine Indexvorlage und eine Ingest-Pipeline. Anschließend rufen wir den TOR-API-Endpunkt jede 1 Stunde auf, um die aktuellsten detaillierten Informationen abzurufen.

Wenn Sie mehr über die Möglichkeiten zur Überwachung von TOR erfahren möchten, können Sie hier darüber lesen. Wenn Sie mehr über das TOR-Projekt im Allgemeinen erfahren möchten, können Sie hier darüber lesen.

Ingest pipeline (Ingest-Pipeline)

Als Erstes erstellen wir eine Ingest-Pipeline, die den letzten Schritt der Datenanalyse übernimmt, bevor die Daten in einen Index geschrieben werden. In den Entwicklertools gehen Sie einfach wie folgt vor: Für jeden Prozessor gibt es eine Beschreibung; falls Sie mehr darüber erfahren möchten, was jeder Prozessor tut und welche Bedingungen gegebenenfalls damit verbunden sind.

So könnte Ihr Bildschirm aussehen:

Die Ingest-Pipeline finden Sie auf GitHub.

Indexvorlage

Als Nächstes müssen wir unsere Indexvorlage erstellen, um sicherzustellen, dass unsere Felder korrekt zugeordnet sind.

Senden Sie nun, weiterhin in den Entwicklertools, die folgende Anfrage, genau wie Sie es mit der Ingest-Pipeline getan haben. Die Indexvorlage finden Sie über diesen Link auf GitHub.

Beachten Sie die Priorität der Indexvorlage; wir haben diese auf eine viel höhere Zahl gesetzt, damit diese Vorlage Vorrang vor der Standardvorlage logs-*-* hat. Während Sie in den folgenden Schritten feststellen werden, dass wir die Ingest-Pipeline in unserer Konfiguration für die Datenerfassung einrichten, können wir sie hier auch als Sicherheitsmaßnahme anwenden, um sicherzustellen, dass die Daten über diese Pipeline geschrieben werden.

Elastic-Agent-Richtlinie

Nachdem diese beiden Elemente geladen sind, können wir nun zu Fleet navigieren und die „Agentenrichtlinie“ auswählen, in die wir unsere Integration installieren möchten.

Klicken Sie bei der Richtlinie, in die Sie die TOR-Sammlung einbinden möchten, einfach auf „Integration hinzufügen“.

Wählen Sie in der Kategorienliste auf der linken Seite „Benutzerdefiniert“ aus und klicken Sie dann auf „Benutzerdefinierte API“.

Klicken Sie oben rechts auf die blaue Schaltfläche „Benutzerdefinierte API hinzufügen“.

Sie können Ihrer Integration einen beliebigen Namen geben; in diesem Beispiel verwende ich jedoch „TOR Node Activity“.

Füllen Sie die folgenden Felder aus:

Name des Datensatzes:
ti_tor.node_activity

Ingest-Pipeline:
logs-ti_tor.node_activity

Anfrage-URL:
https://onionoo.torproject.org/details?fields=exit_addresses,nickname,fingerprint,running,as_name,verified_host_names,unverified_host_names,or_addresses,last_seen,last_changed_address_or_port,first_seen,hibernating,last_restarted,bandwidth_rate,bandwidth_burst,observed_bandwidth,flags,version,version_status,advertised_bandwidth,platform,recommended_version,contact

Anforderungsintervall:
60m

HTTP-Anfragemethode:
GET

Aufteilung der Antworten:
target: body.relays

Anschließend müssen Sie auf „> Erweiterte Optionen“ klicken und noch etwas weiter nach unten scrollen.

Den benötigten Prozessor-Codeausschnitt zum Kopieren finden Sie hier auf GitHub.

Sie können nun auf die Schaltfläche „Speichern und fortfahren“ klicken und in wenigen Minuten werden die TOR-Knotenaktivitäten in Ihrem Logs-Index verfügbar sein!

Filebeat-Installationsoption

Wenn Sie Elastic-Agent nicht verwenden und die Datenaufnahme über Filebeat durchführen möchten, ist das auch in Ordnung! Anstatt die oben genannten Schritte zu verwenden, nutzen Sie einfach die folgenden „filebeat.inputs:“. Dabei wird genau dieselbe Datenaufnahmepipeline und Indexvorlage wie oben verwendet! Kopieren Sie einfach den Eingabeabschnitt in Ihre filebeat.yml-Datei. Sie müssen jedoch noch einen Ausgabeabschnitt hinzufügen.

Überprüfung Ihrer Daten

Nachdem Sie die Konfiguration der Ingest-Pipeline und die Agentenintegration abgeschlossen haben, können Sie die TOR-Knoten in der Discover-Ansicht sehen. Von hier aus können Sie Regeln, Visualisierungen, Dashboards usw. erstellen, um den Überblick darüber zu behalten, wie TOR in Ihrem Netzwerk genutzt wird.

Was können Sie als Nächstes tun?

Das Schöne an der Namenskonvention für diesen Index ist, dass sie automatisch mit Ihrer Threat Intel IP Address Indicator Match-Regel in Elastic SIEM zusammenarbeitet.

Möglicherweise möchten Sie jedoch mithilfe der Fülle an Informationen, die diese Integration bietet, Ihre eigene Regel erstellen; insbesondere abhängig von der Art der beobachteten Knotenumgebung. Da eine beträchtliche Menge an geobasierten Daten mit diesem Index angereichert wurde, wäre jetzt ein ausgezeichneter Zeitpunkt, um einige der Kartenfunktionen in Kibana auszuprobieren.

Diesen Artikel teilen

FacebookLinkedInReddit (Englisch)