Peter Titov

Visão geral do monitoramento de nós de saída do TOR

Como detectar a atividade do TOR em sua rede

6 minutos de leituraHabilitação
Visão geral do monitoramento de nós de saída do TOR

Por que é importante monitorar a atividade dos nós de saída do TOR

No complexo cenário de segurança cibernética atual, um dos elementos mais negligenciados, porém críticos, na detecção proativa de ameaças é o monitoramento da atividade dos nós de saída do TOR (The Onion Router). O TOR permite a comunicação anônima e, embora atenda a interesses legítimos de privacidade, também oferece cobertura para cibercriminosos, campanhas de malware e exfiltração de dados.

O que são nós de saída do TOR?

Os nós de saída do TOR são os pontos de retransmissão finais na rede TOR, por onde o tráfego criptografado sai para a internet aberta. Se um usuário navegar na web anonimamente via TOR, o site ou serviço que ele acessar verá o endereço IP do nó de saída, e não o endereço IP real do usuário.

Em outras palavras, qualquer tráfego de rede originado de um nó de saída do TOR é impossível de rastrear até sua origem sem a cooperação da rede TOR, o que é improvável por projeto.

por que você deveria se importar?

Embora nem toda a atividade na rede Tor seja maliciosa, uma quantidade substancial de tráfego malicioso utiliza a Tor para mascarar sua origem. Eis por que isso é importante:

  1. Reconhecimento anônimo: os atacantes frequentemente realizam varreduras e sondagens a partir de nós de saída da rede TOR. Se alguém estiver mapeando sua infraestrutura usando o TOR, pode estar se preparando para uma tentativa de invasão, mantendo o anonimato.

  2. Canais de Comando e Controle (C2): Muitas famílias de malware usam o TOR para comunicações de C2, dificultando o rastreamento do endpoint infectado até seu controlador.

  3. Exfiltração de dados: o TOR é um canal comum para exfiltrar dados confidenciais de uma organização. Se arquivos confidenciais estiverem sendo enviados para endpoints externos via TOR, você pode já estar comprometido.

  4. Riscos de conformidade: Alguns setores (por exemplo, saúde, finanças) exigem tratamento de dados rigoroso e controles de acesso. Permitir ou ignorar o tráfego originado da rede TOR pode violar essas políticas ou regulamentações do setor.

Você deve procurar por quaisquer interações entre nós de saída do TOR e:

  • host.ip
  • servidor.ip
  • destino.ip
  • source.ip
  • cliente.ip

Isso pode ocorrer em registros de firewalls, DNS, proxies, agentes de endpoint, registros de acesso à nuvem e muito mais.

Como monitorar nós de saída do TOR

Para coletar, monitorar, alertar e gerar relatórios sobre a atividade dos Nós de Saída do TOR, primeiro precisamos criar alguns componentes, a saber, um modelo de índice e um pipeline de ingestão. Em seguida, acessaremos o endpoint da API TOR a cada 1 horas para solicitar as informações detalhadas mais recentes.

Se você quiser saber mais sobre as opções para monitorar o TOR, pode ler sobre elas aqui. Se você quiser saber mais sobre o Projeto TOR em geral, pode ler sobre ele aqui.

Pipeline de ingestão

Primeiro, vamos criar um Pipeline de Ingestão que realizará a última etapa de análise dos nossos dados antes que eles sejam gravados em um índice. Nas Ferramentas de Desenvolvimento, basta aplicar o seguinte: existem descrições para cada processador; caso queira saber mais sobre o que cada um faz e sua condição associada, se houver.

Eis como poderá aparecer a sua tela:

Você pode encontrar o pipeline de ingestão no GitHub.

Modelo de índice

Em seguida, precisamos criar nosso modelo de índice para garantir que nossos campos estejam mapeados corretamente.

Ainda nas Ferramentas de Desenvolvedor, envie a seguinte solicitação, da mesma forma que você fez com o pipeline de ingestão. Você pode encontrar o modelo de índice através deste link no GitHub.

Observe a prioridade do modelo de índice; definimos essa prioridade com um número muito maior para que esse modelo tenha precedência sobre o modelo padrão logs-*-*. Embora você perceba nas etapas a seguir que configuramos o pipeline de ingestão para coleta de dados, também podemos aplicá-lo aqui como uma medida de segurança para garantir que os dados sejam gravados por meio desse pipeline.

Política de Agente Elástico

Com esses dois itens carregados, podemos agora navegar até o Fleet e selecionar a “política de agente” na qual desejamos instalar nossa integração.

Na política à qual deseja instalar a coleção TOR, basta clicar em “Adicionar integração”.

Selecione “Personalizado” na lista de categorias à esquerda e clique em “API personalizada”.

Clique no botão azul “Adicionar API personalizada” no canto superior direito.

Você pode dar o nome que quiser à sua integração; no entanto, neste exemplo, usarei "Atividade do Nó TOR".

Preencha os seguintes campos:

Nome do conjunto de dados:
ti_tor.node_activity

Pipeline de ingestão:
logs-ti_tor.node_activity

URL da solicitação:
https://onionoo.torproject.org/details?fields=exit_addresses,nickname,fingerprint,running,as_name,verified_host_names,unverified_host_names,or_addresses,last_seen,last_changed_address_or_port,first_seen,hibernating,last_restarted,bandwidth_rate,bandwidth_burst,observed_bandwidth,flags,version,version_status,advertised_bandwidth,platform,recommended_version,contact

Intervalo de solicitação:
60m

Método HTTP da requisição:
GET

Divisão da resposta:
target: body.relays

Em seguida, você precisará clicar para expandir as “> Opções avançadas” e rolar um pouco mais para baixo.

Você pode encontrar o trecho de código do processador necessário para copiar no GitHub aqui.

Agora você pode clicar no botão “Salvar e continuar” e, em alguns minutos, a atividade do nó TOR estará disponível no seu índice logs-*!

Opção de instalação do Filebeat

Se você não estiver usando o Elastic-Agent e preferir ingerir dados via Filebeat, tudo bem também! Em vez de usar os passos acima, simplesmente utilize o seguinte “filebeat.inputs:” que usará exatamente o mesmo pipeline de ingestão e modelo de índice acima! Basta copiar e colar a seção de entrada no seu arquivo filebeat.yml. Você ainda precisará adicionar uma seção de saída.

Analisando seus dados

Agora que você concluiu a configuração do pipeline de ingestão e a integração do agente, você pode ver os nós TOR na visualização Descobrir. A partir daqui, você pode criar regras, visualizações, painéis, etc., para ajudar a monitorar como o TOR está sendo usado em sua rede.

O que você pode fazer a seguir?

O interessante da convenção de nomenclatura para este índice é que ela funcionará automaticamente com a sua regra de Correspondência de Indicador de Endereço IP de Inteligência de Ameaças disponível no Elastic SIEM.

No entanto, você pode querer criar sua própria regra usando algumas das muitas informações fornecidas por essa integração, principalmente dependendo do tipo de ambiente de nó observado. Como havia uma quantidade considerável de dados geográficos enriquecidos com esse índice, agora seria um excelente momento para explorar alguns dos recursos de mapa dentro do Kibana.

Compartilhe este artigo

XFacebookLinkedInReddit