Peter Titov

Descripción general del monitoreo del nodo de salida de TOR

Cómo detectar la actividad de TOR dentro de su red

Lectura de 6 minutosHabilitación
Descripción general del monitoreo del nodo de salida de TOR

Por qué es importante la supervisión de la actividad del nodo de salida de TOR

En el complejo panorama actual de la ciberseguridad, uno de los elementos más pasados por alto pero críticos en la detección proactiva de amenazas es el monitoreo de la actividad del nodo de salida TOR (The Onion Router). TOR permite la comunicación anónima y, si bien sirve a intereses legítimos de privacidad, también brinda cobertura para ciberdelincuentes, campañas de malware y exfiltración de datos.

¿Qué son los nodos de salida de TOR?

Los nodos de salida TOR son los puntos de retransmisión finales en la red TOR donde el tráfico cifrado sale a la Internet abierta. Si un usuario navega por el sitio web de forma anónima a través de TOR, el sitio web o servicio al que accede verá la dirección IP del nodo de salida, no la dirección IP real del usuario.

En otras palabras, cualquier tráfico de red que se origine en un nodo de salida de TOR no se puede rastrear hasta su origen sin la cooperación de la red TOR, lo cual es poco probable por diseño.

¿Por qué debería importarte?

Si bien no toda la actividad de TOR es maliciosa, una cantidad sustancial de tráfico malicioso usa TOR para enmascarar su origen. He aquí por qué es importante:

  1. Reconocimiento anónimo: Los atacantes a menudo realizan escaneos y sondeos desde nodos de salida de TOR. Si alguien está mapeando su infraestructura usando TOR, es posible que se esté preparando para un intento de violación mientras permanece en el anonimato.

  2. Canales de comando y control (C2): Muchas familias de malware emplean TOR para las comunicaciones C2, lo que dificulta el seguimiento del endpoint infectado hasta su controlador.

  3. Exfiltración de datos: TOR es un canal común para extraer datos confidenciales de una organización. Si los archivos confidenciales se cargan en puntos finales externos a través de TOR, es posible que ya esté comprometido.

  4. Riesgos de cumplimiento: Algunas industrias (por ejemplo, atención médica, finanzas) requieren un estricto manejo de datos y controles de acceso. Permitir o ignorar el tráfico originado por TOR podría violar estas políticas o regulaciones de la industria.

Debe buscar cualquier interacción entre los nodos de salida de TOR y:

  • host.ip
  • servidor.ip
  • destino.ip
  • fuente.ip
  • cliente.ip

Esto puede ocurrir en registros de firewalls, DNS, proxies, agentes de punto final, registros de acceso a la nube y más.

Cómo monitorear los nodos de salida de TOR

Para recopilar, monitorear, alertar e informar sobre la actividad del nodo de salida de TOR, primero debemos crear algunos componentes, a saber, crearemos una plantilla de índice y una canalización de ingesta. A continuación, llegaremos al punto final de la API de TOR cada 1 horas para aplicar la información detallada más reciente.

Si desea obtener más información sobre las opciones para monitorear TOR, puede leer sobre ellas aquí. Si desea saber más sobre el Proyecto TOR en general, puede leerlo aquí.

Pipeline de ingesta

Primero, vamos a crear una canalización de ingesta que logrará el último bit de análisis de nuestros datos antes de que se escriban en un índice. En DevTools, simplemente aplique lo siguiente: hay descripciones para cada procesador; si desea saber más sobre lo que hace cada uno y su condición asociada, si está presente.

Así es como se verá su pantalla:

Puede encontrar la canalización de ingesta en GitHub.

Plantilla de índice

A continuación, debemos crear nuestra plantilla de índice para cerciorarnos de que nuestros campos estén correctamente mapeados.

Aún en DevTools, envíe la siguiente solicitud tal como se completó con la canalización de ingesta. Puede encontrar la plantilla de índice a través de este enlace en GitHub.

Observe la prioridad de la plantilla de índice; Establecemos esto en un número mucho más alto para que esta plantilla tenga prioridad sobre la plantilla predeterminada logs-*-*. Aunque observará en los pasos siguientes que establecemos la canalización de ingesta en nuestra configuración para la recopilación de datos, también podemos aplicarla aquí como protección para garantizar que los datos se escriban a través de esta canalización.

Política de Elastic-Agent

Con estos dos elementos cargados, ahora podemos navegar a Fleet y seleccionar la "política de agente" en la que queremos instalar nuestra integración.

En la política en la que desea instalar la colección de TOR, simplemente haga clic en "Agregar integración".

Seleccione "Personalizado" en la lista de categorías de la izquierda, luego haga clic en "API personalizada".

Haga clic en el botón azul "Agregar API personalizada" en la parte superior derecha.

Puede titular su integración como desee; sin embargo, usaré "Actividad de nodo TOR" en este ejemplo.

Rellene los siguientes campos:

Nombre del conjunto de datos:
ti_tor.node_activity

Canalización de ingesta:
logs-ti_tor.node_activity

URL de la solicitud:
https://onionoo.torproject.org/details?fields=exit_addresses,nickname,fingerprint,running,as_name,verified_host_names,unverified_host_names,or_addresses,last_seen,last_changed_address_or_port,first_seen,hibernating,last_restarted,bandwidth_rate,bandwidth_burst,observed_bandwidth,flags,version,version_status,advertised_bandwidth,platform,recommended_version,contact

Intervalo de solicitud:
60m

Método HTTP de solicitud:
GET

División de respuesta:
target: body.relays

Luego deberá hacer clic para expandir "> Opciones avanzadas" y desplazar un poco más hacia abajo.

Puede encontrar el fragmento de procesador necesario para copiar en GitHub aquí.

Ahora puede hacer clic en el botón "Almacenar y continuar" y en unos minutos tendrá la actividad del nodo TOR disponible en su índice logs-*.

Opción de instalación de Filebeat

Si no estás usando Elastic-Agent y deseas ingerir a través de Filebeat, ¡también es genial! En lugar de seguir los pasos anteriores, simplemente aproveche el siguiente "filebeat.inputs": que usará exactamente la misma plantilla de índice y canalización de ingesta que la anterior. Simplemente copie y pegue la sección de entrada en su archivo filebeat.yml, aún necesitará agregar una sección de salida.

Revisión de los datos

Ahora que completó la configuración de la canalización de ingesta y la integración del agente, puede ver los nodos TOR en la vista Detectar. Desde aquí, puede crear reglas, visualizaciones, paneles, etc., para ayudar a controlar cómo se emplea TOR en su red.

¿Qué puedes hacer a continuación?

Lo bueno de la convención de nomenclatura para este índice es que funcionará automáticamente con la regla de coincidencia del indicador de direcciones IP de Threat Intel disponible en Elastic SIEM.

Sin embargo, es posible que desee crear su propia regla empleando parte de la gran cantidad de información que se proporciona con esta integración; particularmente dependiendo del tipo de entorno observado del nodo. Dado que había una cantidad considerable de datos geográficos enriquecidos con este índice, ahora sería un excelente momento para consultar algunas de las características del mapa dentro de Kibana.

Compartir este artículo

XFacebook (en inglés)LinkedIn (en inglés)Reddit