工具链攻击利用漏洞链入侵SharePoint服务器获取完全控制权
字数 1582 2025-09-01 11:26:10

ToolShell漏洞链攻击SharePoint服务器技术分析与防御指南

1. 攻击概述

ToolShell是一种针对Microsoft SharePoint服务器的复杂多阶段漏洞利用链攻击,结合了已修补漏洞和新发现的零日漏洞,能够获取系统完全控制权。

受影响版本

  • SharePoint Enterprise Server 2016
  • SharePoint Server 2019
  • SharePoint Server订阅版

2. 漏洞利用链分析

攻击利用了四个关键漏洞的组合:

  1. 已修补漏洞

    • CVE-2025-49704
    • CVE-2025-49706

  2. 零日漏洞

    • CVE-2025-53770
    • CVE-2025-53771

攻击流程

  1. 初始侦察:使用CURL和PowerShell命令探测目标系统
  2. 初始入侵:通过"spinstall0.aspx"端点上传配置数据
  3. 漏洞利用:组合利用四个漏洞建立远程代码执行能力
  4. 后门部署:安装GhostWebShell和KeySiphon恶意组件

3. 恶意组件技术分析

3.1 GhostWebShell

特征

  • 高度复杂的ASP.NET Web Shell
  • 使用Base64编码的ASP.NET页面
  • 通过"?cmd="参数执行任意系统命令(语法:"cmd.exe /c <命令>")

规避技术

  1. 反射临时操作内部BuildManager标志绕过预编译检查
  2. 注册自定义VirtualPathProvider实现无文件操作
  3. 从内存注入恶意页面到合法SharePoint路径(如"/_layouts/15/ghostfile<随机数字>.aspx")
  4. 执行后恢复原始BuildManager标志以最小化检测痕迹

3.2 KeySiphon

功能

  1. 系统情报收集:

    • 逻辑驱动器配置
    • 机器规格
    • CPU核心数
    • 系统运行时间
    • 操作系统详情

  2. 密钥窃取:

    • 通过"System.Web"命名空间提取应用程序验证和解密密钥
    • 调用"MachineKeySection.GetApplicationConfig()"暴露加密密钥
    • 可用于伪造身份验证令牌和操纵ViewState

4. 防御措施

4.1 紧急措施

  1. 立即应用所有可用的SharePoint安全补丁
  2. 检查并隔离受感染的服务器

4.2 检测策略

  1. 网络监控

    • 监控对"spinstall0.aspx"端点的异常访问
    • 检测包含"?cmd="参数的异常请求

  2. 终端保护

    • 部署EDR解决方案监控可疑的PowerShell和cmd.exe活动
    • 检测BuildManager标志的异常修改

  3. 日志分析

    • 分析IIS日志中的异常ASP.NET页面访问
    • 监控VirtualPathProvider的异常注册行为

4.3 长期防护

  1. 强化SharePoint基础设施

    • 实施最小权限原则
    • 禁用不必要的服务和功能
    • 定期审计配置

  2. 访问控制

    • 实施网络分段限制SharePoint服务器的暴露面
    • 启用多因素认证

  3. 密钥管理

    • 定期轮换加密密钥
    • 监控密钥访问行为

5. 攻击指标(IOCs)

5.1 恶意IP地址

157.245.126.186
159.203.88.182
146.190.224.250
203.160.80.77
203.160.86.111
205.198.84.197
159.89.10.213
165.232.162.99
185.169.0.111
146.70.41.178
165.154.196.91

5.2 文件哈希

10e01ce96889c7b4366cfa1e7d99759e4e2b6e5dfe378087d9e836b7278abfb6
7e3fff35ef909c556bdf6d9a63f0403718bf09fecf4e03037238176e86cf4e98
0548fad567c22ccf19031671f7ec1f53b735abf93dc11245bc9ea4dfd463fe40
3adbebbc2093615bb9210bfdb8ebb0841c62426bee8820f86ff0a64d15206041

6. 参考资源

  1. CISA已知被利用漏洞目录
  2. Microsoft SharePoint安全公告
  3. FreeBuf原始报告:New "ToolShell" Exploit Chain Attacking SharePoint Servers to Gain Complete Control

7. 总结

ToolShell攻击代表了针对SharePoint服务器的高级持续性威胁,其多阶段、多漏洞利用的特点使其具有极高的危险性。安全团队应立即采取行动,实施分层防御策略,特别关注补丁管理、异常行为检测和密钥保护。持续的监控和威胁情报共享对于防御此类复杂攻击至关重要。

ToolShell漏洞链攻击SharePoint服务器技术分析与防御指南 1. 攻击概述 ToolShell是一种针对Microsoft SharePoint服务器的复杂多阶段漏洞利用链攻击,结合了已修补漏洞和新发现的零日漏洞,能够获取系统完全控制权。 受影响版本 SharePoint Enterprise Server 2016 SharePoint Server 2019 SharePoint Server订阅版 2. 漏洞利用链分析 攻击利用了四个关键漏洞的组合: 已修补漏洞 : CVE-2025-49704 CVE-2025-49706 零日漏洞 : CVE-2025-53770 CVE-2025-53771 攻击流程 初始侦察 :使用CURL和PowerShell命令探测目标系统 初始入侵 :通过"spinstall0.aspx"端点上传配置数据 漏洞利用 :组合利用四个漏洞建立远程代码执行能力 后门部署 :安装GhostWebShell和KeySiphon恶意组件 3. 恶意组件技术分析 3.1 GhostWebShell 特征 : 高度复杂的ASP.NET Web Shell 使用Base64编码的ASP.NET页面 通过"?cmd="参数执行任意系统命令(语法:"cmd.exe /c <命令>") 规避技术 : 反射临时操作内部BuildManager标志绕过预编译检查 注册自定义VirtualPathProvider实现无文件操作 从内存注入恶意页面到合法SharePoint路径(如"/_ layouts/15/ghostfile <随机数字>.aspx") 执行后恢复原始BuildManager标志以最小化检测痕迹 3.2 KeySiphon 功能 : 系统情报收集: 逻辑驱动器配置 机器规格 CPU核心数 系统运行时间 操作系统详情 密钥窃取: 通过"System.Web"命名空间提取应用程序验证和解密密钥 调用"MachineKeySection.GetApplicationConfig()"暴露加密密钥 可用于伪造身份验证令牌和操纵ViewState 4. 防御措施 4.1 紧急措施 立即应用所有可用的SharePoint安全补丁 检查并隔离受感染的服务器 4.2 检测策略 网络监控 : 监控对"spinstall0.aspx"端点的异常访问 检测包含"?cmd="参数的异常请求 终端保护 : 部署EDR解决方案监控可疑的PowerShell和cmd.exe活动 检测BuildManager标志的异常修改 日志分析 : 分析IIS日志中的异常ASP.NET页面访问 监控VirtualPathProvider的异常注册行为 4.3 长期防护 强化SharePoint基础设施 : 实施最小权限原则 禁用不必要的服务和功能 定期审计配置 访问控制 : 实施网络分段限制SharePoint服务器的暴露面 启用多因素认证 密钥管理 : 定期轮换加密密钥 监控密钥访问行为 5. 攻击指标(IOCs) 5.1 恶意IP地址 5.2 文件哈希 6. 参考资源 CISA已知被利用漏洞目录 Microsoft SharePoint安全公告 FreeBuf原始报告:New "ToolShell" Exploit Chain Attacking SharePoint Servers to Gain Complete Control 7. 总结 ToolShell攻击代表了针对SharePoint服务器的高级持续性威胁,其多阶段、多漏洞利用的特点使其具有极高的危险性。安全团队应立即采取行动,实施分层防御策略,特别关注补丁管理、异常行为检测和密钥保护。持续的监控和威胁情报共享对于防御此类复杂攻击至关重要。