项目概述
这是对Let’s Defend平台上一起基于近期SharePoint CVE(CVE-2025-53770)安全事件的深度调查分析。该调查聚焦于SharePoint ToolShell漏洞的利用过程,通过分析网络流量和端点日志,还原了攻击者如何利用该漏洞实现身份验证绕过和远程代码执行(RCE)。
调查揭示了一个外部攻击者(IP:107.191.58.76)通过精心构造的POST请求,针对内部SharePoint服务器(172.16.20.17)上易受攻击的ToolPane.aspx页面发起的攻击。攻击成功执行后,在目标系统上通过w3wp.exe进程运行了经过混淆的PowerShell命令,实现了信息收集和潜在的后渗透活动。
功能特性
- 流量分析能力:能够检测并分析针对SharePoint ToolPane.aspx页面的异常POST请求
- 攻击行为识别:识别身份验证绕过尝试,包括使用SignOut.aspx作为referer的隐蔽技术
- 进程监控:监测w3wp.exe进程执行PowerShell命令的异常行为
- 载荷分析:解析Base64编码的PowerShell命令,揭示攻击者的真实意图
- 配置信息提取:展示如何提取ASP.NET关键配置密钥进行安全评估
- 编译工具检测:监控csc.exe和cmd.exe等编译工具的可疑使用模式
安装与配置
环境要求
本调查分析基于以下环境组件:
- Let’s Defend平台- 安全分析训练平台
- SharePoint环境- 包含易受攻击的ToolPane.aspx页面
- 日志收集系统- 能够收集网络流量和端点日志
- 安全监控规则- SOC342规则集用于检测异常行为
依赖组件
- 网络流量分析工具:用于检测异常的HTTP请求
- 端点检测与响应(EDR):监控进程执行行为
- Base64解码工具:用于分析混淆的PowerShell命令
- ASP.NET环境:包含待调查的配置信息
使用说明
基础调查流程
# 1. 识别规则触发# SOC342规则检测到以下特征:# - 未认证的POST请求# - 针对ToolPane.aspx页面# - 大载荷(Content-Length: 7699)# - 可疑referer(SignOut.aspx)# 2. 分析流量源和目标# 外部IP: 107.191.58.76 → 内部SharePoint服务器: 172.16.20.17# 3. 检查端点日志# 发现w3wp.exe进程执行PowerShell命令# 4. 解码和分析攻击载荷# Base64编码的PowerShell命令典型调查场景
初始检测阶段
- 监控SOC342规则触发
- 识别异常POST请求模式
- 分析referer字段的异常使用
攻击确认阶段
- 确认w3wp.exe执行PowerShell的行为
- 解码和分析Base64编码的命令
- 理解攻击者的信息收集意图
影响评估阶段
- 分析提取的ASP.NET配置信息
- 识别后续攻击行为(如编译payload.exe)
- 评估系统受损程度
核心代码分析
攻击流量特征分析代码
# SOC342规则检测逻辑分析# 检测到以下特征的POST请求会被标记:request_features={"authentication":"unauthenticated",# 未认证访问"target_page":"ToolPane.aspx",# 目标页面"payload_size":7699,# 大载荷"referer":"SignOut.aspx",# 可疑referer,用于混淆来源"behavior":"ToolShell_vulnerability_exploitation"# 一致的行为模式}# 该检测逻辑能够识别利用ToolShell漏洞的特定攻击模式# SignOut.aspx作为referer是一种常见的混淆技术,试图绕过安全检查PowerShell载荷解码分析
# 攻击者使用的Base64编码PowerShell命令示例# 解码后的命令执行以下操作:# 1. 信息收集 - 提取ASP.NET关键配置# 从运行机器上提取并打印关键的ASP.NET配置密钥# 2. 编译攻击工具 - 创建持久化载荷"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe"/out:C:\Windows\Temp\payload.exe C:\Windows\Temp\payload.cs# 3. 执行命令 - 运行额外的攻击指令"C:\Windows\System32\cmd.exe"/cecho<formrunat=\"server\"><objectclassid=\"clsid:ADB880A6-D8FF-11CF-9377-00AA003B7A11\"><param name...# 攻击载荷分析要点:# - 使用csc.exe编译C#代码创建可执行文件# - 利用临时目录(C:\Windows\Temp\)存放攻击文件# - 通过cmd.exe执行额外的攻击指令# - 尝试利用ActiveX对象进行进一步攻击端点行为监控代码
# 监测w3wp.exe进程异常行为的逻辑# 在SharePoint环境中,需要区分正常行为和潜在攻击:defanalyze_w3wp_behavior(process_info):""" 分析w3wp.exe进程行为的函数 参数: process_info: 包含进程执行信息的字典 返回: risk_level: 风险等级(low, medium, high) evidence: 分析证据 """suspicious_indicators={"powerShell_execution":False,# 执行PowerShell命令"base64_encoded":False,# 命令经过Base64编码"temp_directory_use":False,# 使用临时目录"compilation_activity":False,# 编译活动"unusual_parent_process":False# 异常父进程}# 检查PowerShell执行if"powershell"inprocess_info["command_line"].lower():suspicious_indicators["powerShell_execution"]=True# 检查Base64编码if"-EncodedCommand"inprocess_info["command_line"]:suspicious_indicators["base64_encoded"]=True# 检查临时目录使用if"\\temp\\"inprocess_info["command_line"].lower():suspicious_indicators["temp_directory_use"]=True# 检查编译活动if"csc.exe"inprocess_info["command_line"]:suspicious_indicators["compilation_activity"]=True# 计算风险等级risk_score=sum(suspicious_indicators.values())ifrisk_score>=3:return"high","Multiple suspicious indicators detected"elifrisk_score==2:return"medium","Moderate risk indicators detected"else:return"low","Normal or low risk activity"# 该分析逻辑帮助安全团队快速识别SharePoint环境中的潜在攻击活动# 特别是在CVE-2025-53770漏洞被利用的场景下6HFtX5dABrKlqXeO5PUv/3F1p+H05CDVF7Eln3FxejTeu1qMf7mVAopqgB7vSUDimGpMKplgCdZuOUcM43W9CQ6vtQKNTPjzxHKDDX1SVkdpNgtn9XRn6mMDxgBUN3aL
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
