Peter Titov

TOR 出口ノード監視の概要

ネットワーク内でTORアクティビティを検出する方法

6分で読む有効化
TOR 出口ノード監視の概要

TOR出口ノードのアクティビティ監視が重要な理由

今日の複雑なサイバーセキュリティの状況において、プロアクティブな脅威検出において最も見落とされがちでありながら重要な要素の 1 つは、TOR (The Onion Router) 出口ノードのアクティビティを監視することです。TOR は匿名通信を可能にし、正当なプライバシーの利益にかなう一方で、サイバー犯罪者、マルウェア攻撃、データ窃盗の隠れ蓑にもなります。

TOR 出口ノードとは何ですか?

TOR 出口ノードは、暗号化されたトラフィックがオープン インターネットに出る TOR ネットワーク内の最終中継ポイントです。ユーザーが TOR 経由で匿名で Web を閲覧する場合、アクセスする Web サイトまたはサービスには、ユーザーの実際の IP アドレスではなく、出口ノードの IP アドレスが表示されます。

言い換えれば、TOR 出口ノードから発信されるネットワーク トラフィックは、TOR ネットワークの協力なしにはそのソースまで追跡することはできませんが、これは設計上ありそうにありません。

なぜ検討が必要なのか

すべての TOR アクティビティが悪意のあるものではありませんが、悪意のあるトラフィックのかなりの量は、その発信元を隠すために TOR を使用しています。これが重要な理由です:

  1. 匿名化された偵察:攻撃者は多くの場合、TOR 出口ノードからスキャンとプローブを実行します。誰かが TOR を使用してインフラストラクチャをマッピングしている場合、匿名のまま侵入を試みている可能性があります。

  2. コマンド アンド コントロール (C2) チャネル:多くのマルウェア ファミリは C2 通信に TOR を使用しているため、感染したエンドポイントをそのコントローラーまで追跡することが困難になっています。

  3. データの流出: TOR は、組織から機密データを流出させるための一般的なチャネルです。機密ファイルが TOR 経由で外部エンドポイントにアップロードされている場合は、すでに侵害されている可能性があります。

  4. コンプライアンス リスク:一部の業界 (医療、金融など) では、厳格なデータ処理とアクセス制御が必要です。TOR 由来のトラフィックを許可または無視すると、これらのポリシーまたは業界規制に違反する可能性があります。

TOR 出口ノードと以下の間の相互作用に注意する必要があります。

  • ホスト.ip
  • サーバーのIP
  • 宛先.ip
  • ソース.ip
  • クライアント.ip

これは、ファイアウォール、DNS、プロキシ、エンドポイント エージェント、クラウド アクセス ログなどのログで発生する可能性があります。

TOR出口ノードを監視する方法

TOR 出口ノードのアクティビティを収集、監視、アラート、レポートするには、まずいくつかのコンポーネント、つまりインデックス テンプレートと取り込みパイプラインを作成する必要があります。その後、 1 時間ごとに TOR API エンドポイントにアクセスして、最新の詳細情報をリクエストします。

TOR を監視するためのオプションについて詳しく知りたい場合は、ここ をご覧ください。TOR プロジェクト全般についてさらに詳しく知りたい場合は、ここ をご覧ください。

パイプラインを投入

まず、データがインデックスに書き込まれる前に、データの最後の解析を実行する Ingest Pipeline を作成しましょう。DevTools では、次の操作を実行するだけです。各プロセッサの説明がありますので、各プロセッサの機能や、関連する条件 (存在する場合) について詳しく知りたい場合は、それを参照してください。

画面は次のようになります。

取り込みパイプラインはGitHubで見つかります。

インデックステンプレート

次に、フィールドが正しくマップされていることを確認するために、インデックス テンプレートを作成する必要があります。

引き続き DevTools で、取り込みパイプラインで完了したときと同じように次のリクエストを送信します。インデックス テンプレートは、GitHub のこのリンクから見つかります。

インデックス テンプレートの優先度に注意してください。このテンプレートがデフォルトの logs-*-* テンプレートよりも優先されるように、優先度をかなり高い数値に設定しています。次の手順では、データ収集用の構成で取り込みパイプラインを設定していることに気付くと思いますが、このパイプラインを通じてデータが書き込まれるようにするための安全策として、ここでもそれを適用する場合があります。

弾性エージェントポリシー

これら 2 つの項目が読み込まれたら、Fleet に移動し、統合をインストールする「エージェント ポリシー」を選択できるようになります。

TOR コレクションをインストールするポリシーで、「統合を追加」をクリックするだけです。

左側のカテゴリリストから「カスタム」を選択し、「カスタム API」をクリックします。

右上にある青い「カスタム API を追加」ボタンをクリックします。

統合には任意のタイトルを付けることができますが、この例では「TOR ノード アクティビティ」を使用します。

次のフィールドに入力します。

データセット名:
ti_tor.node_activity

取り込みパイプライン:
logs-ti_tor.node_activity

リクエストURL:
https://onionoo.torproject.org/details?fields=exit_addresses,nickname,fingerprint,running,as_name,verified_host_names,unverified_host_names,or_addresses,last_seen,last_changed_address_or_port,first_seen,hibernating,last_restarted,bandwidth_rate,bandwidth_burst,observed_bandwidth,flags,version,version_status,advertised_bandwidth,platform,recommended_version,contact

リクエスト間隔:
60m

リクエスト HTTP メソッド:
GET

回答分割:
target: body.relays

次に、「> 詳細オプション」をクリックして展開し、もう少し下にスクロールする必要があります。

コピーに必要なプロセッサ スニペットは、こちらのGitHub で見つかります。

「保存して続行」ボタンをクリックすると、数分以内に TOR ノードのアクティビティが logs-* インデックスで利用できるようになります。

Filebeatインストールオプション

Elastic-Agent を使用しておらず、Filebeat 経由で取り込みたい場合は、それも問題ありません。上記の手順を使用する代わりに、次の「filebeat.inputs」を活用します。上記とまったく同じ取り込みパイプラインとインデックス テンプレートを使用します。入力セクションをコピーして filebeat.yml ファイルに貼り付けるだけですが、出力セクションを追加する必要があります。

データを確認する

インジェスト パイプラインとエージェント統合の構成が完了したので、Discover ビューで TOR ノードを確認できます。ここから、ルール、視覚化、ダッシュボードなどを作成して、ネットワーク上で TOR がどのように使用されているかを把握することができます。

次に何ができるでしょうか?

このインデックスの命名規則の優れた点は、Elastic SIEM で利用可能な Threat Intel IP アドレス インジケーター マッチ ルールで自動的に機能することです。

ただし、特にノード監視環境の種類に応じて、この統合で提供される豊富な情報の一部を使用して独自のルールを作成する必要がある場合があります。このインデックスで強化された地理ベースのデータがかなりあるため、Kibana 内のマップ機能のいくつかを確認するには今が絶好の機会です。

この記事を共有する

FacebookLinkedInRedditの