SharePoint漏洞利用分析与检测指南

本文详细分析了针对Microsoft SharePoint服务器的漏洞利用链,涉及CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771等多个漏洞,提供了恶意软件样本的技术分析、检测规则和安全建议。

分析报告

MAR-251132.c1.v1 SharePoint漏洞利用

发布日期:2025年8月6日
警报代码:AR25-218A

通知

本报告按“原样”提供,仅用于信息目的。国土安全部(DHS)对此处包含的任何信息不提供任何形式的保证。DHS不认可本公告中引用的任何商业产品或服务。

摘要

描述
CISA收到了六个与Microsoft SharePoint漏洞相关的文件:CVE-2025-49704 [CWE-94: 代码注入]、CVE-2025-49706 [CWE-287: 身份验证不当]、CVE-2025-53770 [CWE-502: 可信数据反序列化]和CVE-2025-53771 [CWE-287: 身份验证不当]。根据微软的说法,网络威胁行为者已将CVE-2025-49706(网络欺骗漏洞)和CVE-2025-49704(远程代码执行漏洞)串联在名为“ToolShell”的利用链中,以未经授权访问本地SharePoint服务器。微软尚未确认CVE-2025-53771的利用情况;但CISA评估认为利用可能性很高,因为它可以与CVE-2025-53770串联使用,以绕过先前披露的漏洞CVE-2025-49704和CVE-2025-49706。

分析包括两个Base64编码的.NET动态链接库(DLL)二进制文件和四个Active Server Page Extended [ASPX]文件。解码后的DLL旨在检索ASP[.]NET应用程序配置中的机器密钥设置,并将检索到的机器密钥值添加到HTTP响应头中。

第一个ASPX文件用于从ASP[.]NET应用程序配置中检索和输出机器密钥信息。下一个ASPX文件包含用于执行PowerShell命令的命令行指令。该PowerShell命令旨在Base64解码并在磁盘上安装恶意的ASPX网页外壳。该网页外壳用于处理各种Web相关操作,包括设置和检索HTTP cookie、执行命令和上传文件。其余两个ASPX网页外壳用于在服务器上使用PowerShell执行命令。

CISA鼓励组织使用此恶意软件分析报告中的危害指标(IOC)和检测签名来识别恶意软件样本。

提交的文件(6个)

  • 3461da3a2ddcced4a00f87dcd7650af48f97998a3ac9ca649d7ef3b7332bd997 (osvmhdfl.dll)
  • 60a37499f9b02c203af24c2dfd7fdb3834cea707c4c56b410a7e68376938c4b7 (stage3.txt)
  • 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 (spinstall0.aspx)
  • 9340bf7378234db5bca0dc5378bf764b6a24bb87a42b05fa21a996340608fbd7 (info3.aspx)
  • d0c4d6a4be0a65f8ca89e828a3bc810572fff3b3978ff0552a8868c69f83d170 (spinstallp.aspx)
  • d9c4dd5a8317d1d83b5cc3482e95602f721d58e3ba624d131a9472f927d33b00 (spinstallb.aspx)

附加文件(2个)

  • 675a10e87c248d0f629da864ba8b7fd92b62323c406a69dec35a0e6e1552ecbc (info3.aspx)
  • bee94b93c1796981a55d7bd27a32345a61304a88ed6cd70a5f7a402f1332df72 (bjcloiyq.dll)

发现

60a37499f9b02c203af24c2dfd7fdb3834cea707c4c56b410a7e68376938c4b7

详细信息

  • 名称: stage3.txt
  • 大小: 15893字节
  • 类型: ASCII文本,行长较长
  • MD5: 921ac86b258fa9ea3da4c39462bad782
  • SHA1: b8662c8cc9e383b4a0ac980e0fd94941fe12c31d
  • SHA256: 60a37499f9b02c203af24c2dfd7fdb3834cea707c4c56b410a7e68376938c4b7
  • SHA512: 6fd128a33e432d8fd5ea5dcf419a0b90f09648d7b4b95ceb6a5634fc01d8e0613d6d231bc038e2796f6a4d8fc277ebbea7b90ab773c0020dd2ad67149e52e4ff
  • ssdeep: 384:AQG6NVJiZbXhKth3s0bA2rhvhundOXz5D:AQG6NVJmbX0h3zs21vsndO
  • : 4.902435
  • 防病毒软件: 无匹配

YARA规则
检测编码的.NET DLL样本的规则,包含多个十六进制字符串模式。

SIGMA规则
检测ToolShell CVE-2025-53770利用活动的规则,包含多个关键词和条件。

关系
此工件包含Base64编码的.NET DLL “bjcloiyq.dll”。

bee94b93c1796981a55d7bd27a32345a61304a88ed6cd70a5f7a402f1332df72

详细信息

  • 名称: bjcloiyq.dll
  • 大小: 10813字节
  • 类型: PE32可执行文件(DLL)(控制台)Intel 80386 Mono/.Net程序集,适用于MS Windows
  • MD5: 0e36ecda6fc4b5661f9a181984a53bb5
  • SHA1: 3a438b239d8451b8e12e9cdd3c24d1240dd758c9
  • SHA256: bee94b93c1796981a55d7bd27a32345a61304a88ed6cd70a5f7a402f1332df72
  • SHA512: 033f215fde36025a7ce434daddb70304d1e56f2dd2600e18a44d0af825a348fda388ee8fb1d684c2cdd006cdf042005bb26ab67cdf6c5eaac331650ea0ab9422
  • ssdeep: 192:fJhh81DzgDZnSxPKgL6YBAxmrFMxmrFARmrF9RmrFj4U0QiKpM9aMg3AxmrFaxmi:xhh81Dz4pSxPKg2YBAxeFMxeFAReF9RL
  • : 4.986214
  • 防病毒软件: 无匹配

YARA规则
检测.NET DLL有效负载样本的规则。

SIGMA规则
基于提交文件检测CVE-2025-53770 IOC和活动的规则。

PE元数据

  • 编译日期: 2025-07-18 03:25:36+00:00
  • 导入哈希: dae02f32a21e03ce65412f6e56942daa
  • 内部名称: bjcloiyq.dll
  • 原始文件名: bjcloiyq.dll
  • 产品版本: 0.0.0.0

PE节

  • header: MD5 93185bd1019bd277eef9815a17f1d074, 原始大小512, 熵2.540889
  • .text: MD5 f7cb6b7293c5082045ba423cab20a758, 原始大小2048, 熵4.519674
  • .rsrc: MD5 b73c90a61195ef7457efab9d898490d9, 原始大小1024, 熵2.172802
  • .reloc: MD5 039675253cb6c73f5458348295ff2f28, 原始大小512, 熵0.081539

打包器/编译器/加密器

  • Microsoft Visual C# / Basic .NET

描述
此工件是一个64位.NET DLL,包含一个名为"E"的类(图2),用于提取和连接ASP[.]NET应用程序配置中的机器密钥配置设置。该文件使用反射访问"System.Web"程序集中的"MachineKeySection",其中包含用于ASP[.]NET中验证和解密的加密密钥。该文件使用反射获取并调用"MachineKeySection"类的"GetApplicationConfig"方法来检索包含实际密钥值的"machineKey"配置。该文件构建一个包含"ValidationKey"、“Validation”、“DecryptionKey”、“Decryption"和"CompatibilityMode"属性的字符串,并将其作为名为"X-TXT-NET"的自定义头添加到HTTP响应中。

3461da3a2ddcced4a00f87dcd7650af48f97998a3ac9ca649d7ef3b7332bd997

详细信息

  • 名称: osvmhdfl.dll
  • 大小: 13373字节
  • 类型: PE32可执行文件(DLL)(控制台)Intel 80386 Mono/.Net程序集,适用于MS Windows
  • MD5: 40e609840ef3f7fea94d53998ec9f97f
  • SHA1: 141af6bcefdcf6b627425b5b2e02342c081e8d36
  • SHA256: 3461da3a2ddcced4a00f87dcd7650af48f97998a3ac9ca649d7ef3b7332bd997
  • SHA512: deaed6b7657cc17261ae72ebc0459f8a558baf7b724df04d8821c7a5355e037a05c991433e48d36a5967ae002459358678873240e252cdea4dcbcd89218ce5c2
  • ssdeep: 384:cMQLQ5VU1DcZugg2YBAxeFMxeFAReF9ReFj4U0QiKy8Mg3AxeFaxeFAReFLxTYma:ElHh1gtX10u5A
  • : 4.966672
  • 防病毒软件: 无匹配

YARA规则
检测.NET DLL有效负载样本的规则。

SIGMA规则
检测CVE-2025-53770 CVE-2025-53771更新IOC和活动的规则。

PE元数据

  • 编译日期: 2025-07-22 08:33:22+00:00
  • 导入哈希: dae02f32a21e03ce65412f6e56942daa
  • 内部名称: osvmhdfl.dll
  • 原始文件名: osvmhdfl.dll
  • 产品版本: 0.0.0.0

PE节

  • header: MD5 2a11da5809d47c180a7aa559605259b5, 原始大小512, 熵2.545281
  • .text: MD5 531ff1038e010be3c55de9cf1f212b56, 原始大小4608, 熵4.532967
  • .rsrc: MD5 ef6793ef1a2f938cddc65b439e44ea07, 原始大小1024, 熵2.170401
  • .reloc: MD5 403090c0870bb56c921d82a159dca5a3, 原始大小512, 熵0.057257

打包器/编译器/加密器

  • Microsoft Visual C# / Basic .NET

描述
此工件是一个32位.NET DLL,包含一个名为"E"的类(图3),用于检索系统和环境信息以及机器密钥配置设置。此类文件旨在迭代和收集环境变量以及检索和格式化以下.NET和系统属性:

–开始系统属性–

  • 逻辑驱动器数量
  • 驱动器字母
  • 计算机名称
  • 系统目录的完整路径
  • 当前目录
  • 处理器数量
  • 系统运行时间(自启动以来的毫秒数)
  • 用户名
  • 操作系统版本
  • .NET版本 –结束系统属性–

该文件使用反射访问"System.Web"程序集中的"MachineKeySection”,其中包含用于ASP[.]NET中验证和解密的加密密钥。该文件使用反射调用"MachineKeySection"类的"GetApplicationConfig"方法来检索包含实际密钥值的"machineKey"配置。该文件构建一个包含"ValidationKey"、“Validation”、“DecryptionKey”、“Decryption"和"CompatibilityMode"属性的字符串。收集的信息和"MachineKeySection"详细信息被格式化为字符串,然后写入HTTP响应。

92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514

标签: webshell

详细信息

  • 名称: spinstall0.aspx
  • 大小: 756字节
  • 类型: HTML文档,ASCII文本,带有CRLF行终止符
  • MD5: 02b4571470d83163d103112f07f1c434
  • SHA1: f5b60a8ead96703080e73a1f79c3e70ff44df271
  • SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
  • SHA512: 2e6799393458d42acd4586c9792c24edf10b5e4aa761419758fec8da6670197c0e7c21e46dab224673818146ea4811446b4fbeaeed581e98f2add0980eb9d47d
  • ssdeep: 12:iWVx8OaBngupDLI4MKisEKFhbCT5a05MQ+SuEKd2Eswl1HwAbPYMv:5VxWBnrE4JtbCT5f5exB1tbPYMv
  • : 5.313146
  • 防病毒软件: 无匹配

YARA规则
检测aspx有效负载样本的规则。

描述
此工件是一个恶意的ASPX文件,用于从System[.]Web[.]Configuration命名空间的"MachineKeySection"中检索和输出机器密钥信息(图4)。该文件使用反射动态加载"System.Web"程序集并访问"System.Web.Configuration"中的"MachineKeySection"类。该文件调用"GetApplicationConfig"来检索"MachineKeySection"对象,并使用"Response.Write()“方法将其属性(包括ValidationKey、Validation、DecryptionKey、Decryption和CompatibilityMode)写入HTTP响应。

9340bf7378234db5bca0dc5378bf764b6a24bb87a42b05fa21a996340608fbd7

标签: dropper

详细信息

  • 名称: info3.aspx
  • 大小: 5026字节
  • 类型: ASCII文本,行长较长,无行终止符
  • MD5: 1f5c8df6bd296ebf68acda951a004a5b
  • SHA1: d80722b335806cb74ee27af385abc6c9b018e133
  • SHA256: 9340bf7378234db5bca0dc5378bf764b6a24bb87a42b05fa21a996340608fbd7
  • SHA512: 54a82a9d9747f872f21f20ac4acea25218ed38a61fd9c611fb858f3f0c2941d4bf7ed35bf93fc0432aa3ac5a891277754a4a9468ae03cf31ca11281a589bc224
  • ssdeep: 96:orFTPkPoXHIBvUr7F13mw3UhoQgW0970Eq90WtPKLiOKMT:orVPkPRBvaJ13r3eA709JPKGOKMT
  • : 5.515141
  • 防病毒软件: 无匹配

YARA规则
检测Base64编码PowerShell投放器样本的规则。

关系
此工件包含"info3.aspx” (675a10e87c24…)。

描述
此工件包含用于执行PowerShell命令的命令行指令(图5)。PowerShell命令将Base64编码的字符串解码为UTF-8字符串。解码后的内容然后写入位于c:\progra1\common1\micros1\webser1\l16\template\layouts\的名为"info3.aspx"的文件中。输出文件使用UTF8编码。

675a10e87c248d0f629da864ba8b7fd92b62323c406a69dec35a0e6e1552ecbc

标签: webshell

详细信息

  • 名称: info3.aspx
  • 大小: 3582字节
  • 类型: HTML文档,ASCII文本
  • MD5: 7e09e837805c55dc5643cc21a87ff2a8
  • SHA1: 27f154765054fbe0f5c234cd2c7829b847005d2a
  • SHA256: 675a10e87c248d0f629da864ba8b7fd92b62323c406a69dec35a0e6e1552ecbc
  • SHA512: 83aa141fd090172fb9a22855c18f2aea8b37f663f0093edd675a7499186fe46b3f953edda9477ca8918cf2af82c8b723d07a6912a9d7aa62b26391d15a83c44d
  • ssdeep: 48:H9zBW074shunsBjsm/ITETo1YWOW5uq+Z8QZ+ThJSCyiH12:HJBG2jsmI4lPeWiOo3SCyiV2
  • : 4.789465
  • 防病毒软件: 无匹配

YARA规则
检测aspx网页外壳样本的规则。

关系
此工件包含在"info3.aspx” (9340bf73782…)中。

描述
此工件是一个恶意的ASP[.]NET网页(.aspx),其中包含嵌入在HTML结构中的ASP[.]NET代码。该文件是由"info3.aspx"安装的网页外壳。该文件根据提交的表单数据或HTTP cookie处理各种操作。该文件包含用于创建表单的HTML代码。这些表单允许威胁行为者(TA)输入密码并使用"登录"按钮提交,在文本字段中输入命令,然后可以通过单击"执行"按钮执行,以及上传文件,包括两个输入字段:一个用于选择文件(type=“file”),另一个用于文本输入(type=“text”)(图7)。

密码表单元素配置为POST方法,输入字段名为"nYOmkVTYH2"。如果通过HTTP POST请求从TA收到带有密码的HTML表单,该文件检查提交的表单字段参数"nYOmkVTYH2"是否不为空。如果参数存在且不为空,该文件设置一个名为"wY1DC6wH4u"的HTTP Cookie,其值来自表单字段"nYOmkVTYH2",并将HTTP Cookie过期日期设置为当前时间后的四天。然后将此cookie添加到响应中。

该文件验证HTTP cookie是否存在于当前HTTP请求中。如果cookie存在,其值与长硬编码字符串"D&Fri2k&x5dMISTnaFq@ssyKk@rEM!98KzSKWpL4Nc8NvaA9AKdJVOtfdJ45FvbyYHxTql6kkc%qOZevc*hu^M#l#LrlNo9!7KLf"连接。然后使用SHA512哈希此组合字符串。计算出的哈希转换为Base64字符串,并与预定义的Base64编码字符串"9gYs0W/reXzR+KO6J/zP6naMU9AQwZCwhmXuPyGeY2VwMkxNGBZaJQAxGS6GvQZJLSAPk8LT0PgJVU1kQQJd2zW9w==“进行比较(图6)。此过程确定用户或请求是否被授权。

命令表单元素配置为POST方法,输入字段名为"GTaRkhJ9wz”。如果通过HTTP POST请求从TA收到带有命令的HTML表单,该文件检查提交的表单字段参数"GTaRkhJ9wz"是否不为空。如果参数存在且不为空,该文件创建一个新进程来执行命令行实用程序"cmd.exe"。该文件重定向标准输入、输出和错误流以捕获执行的命令的结果。代码将"GTaRkhJ9wz"表单参数的值写入进程的标准输入,将该值作为命令执行,然后写入"exit"以终止进程(图6)。

文件上传表单元素配置为POST方法和"enctype"=“multipart/form-data"以处理文件上传。它包括一个用于选择文件的输入type=“file”(输入字段名为"0z3H8H8ato”)和一个用于提供目标路径或文件名的输入type=“text”(输入字段名为"7KAjlfecWF")。如果从TA收到文件上传的HTML表单,该文件检查提交的表单字段参数"7KAjlfecWF"(预期为文件路径或名称)是否不为空。该文件通过"HttpContext.Current[.]Request[.]Files[“Oz3H8H8ato”]“输入检索上传的文件。如果文件存在且有内容(内容长度大于零),该文件使用"7KAjlfecWF"字段中提供的路径保存上传的文件。成功上传后,名为"Result"的元素的"InnerText"设置为"uploaded”,指示文件已保存。如果在此过程中发生错误,该文件捕获异常并在"Result.InnerText"中显示其详细信息(图6)。该文件向TA显示服务器端生成的输出或消息。

d9c4dd5a8317d1d83b5cc3482e95602f721d58e3ba624d131a9472f927d33b00

标签: webshell

详细信息

  • 名称: spinstallb.aspx
  • 大小: 676字节
  • 类型: HTML文档,ASCII文本,行长较长,无行终止符
  • MD5: 7d2f36f4cb82c75b83c210e655649b5d
  • SHA1: 37d1d1913d758f7d71020c08d4a7dae3efe83b68
  • SHA256: d9c4dd5a8317d1d83b5cc3482e95602f721d58e3ba624d131a9472f927d33b00
  • SHA512: c52ab55753ae7fcfca46e869b805f3aa2d19c45e7526a61f79b20b8cd38eccc09f1b7a06acbd8d77e936f68fea9ee3bba7b7c42d6f93cf0c27a22cf7555d70d3
  • ssdeep: 12:XrVcins8q/KF2C2DRbqtP6LoGM8AWLaWF1nM9OiDGiOVKeL84GYb:7Vds8q/KF2C2qPWHAW+WF9M9OiDm/b
  • : 5.466082
  • 防病毒软件: 无匹配

YARA规则
检测ASPX网页外壳样本的规则。

描述
此工件是一个恶意的ASPX文件,具有"Page_Load"事件处理程序,用于在服务器上构建和执行使用PowerShell的命令(图8)。执行时,该文件从名为"p"的表单参数中获取Base64编码的字符串。Base64编码的字符串被解码并使用硬编码的XOR密钥"68901a394a76dc5064fba96b862665ee596b1a1468bdc618157d7cca0130902e"进行XOR解密。XOR解密字节的输出转换为UTF-8字符串,然后进行Base64编码。Base64编码的字符串使用"-EncodedCommand"标志作为参数传递给PowerShell进程"powershell.exe"。该文件重定向PowerShell进程的标准输出并将其读入变量"o",然后写回HTTP响应。

d0c4d6a4be0a65f8ca89e828a3bc810572fff3b3978ff0552a8868c69f83d170

标签: webshell

详细信息

  • 名称: spinstallp.aspx
  • 大小: 706字节
  • 类型: HTML文档,ASCII文本,行长较长,无行终止符
  • MD5: 7768feda9d79ef6f87410c02e981f066
  • SHA1: 1b8432fcda4c12b64cdf4918adf7880aecf054ec
  • SHA256: d0c4d6a4be0a65f8ca89e828a3bc810572fff3b3978ff0552a8868c69f83d170
  • SHA512: c9ee5d32a59fad386570923df7950b562e1d4c000c7f4a20aebc214477f737815a401858a11d4e9139a80152afd5ddc8655ad804e71544e50f5a23cc9888eeba
  • ssdeep: 12:XrVTO6LjxB5QnnsJz3kH+XWLaWF1n5OiD5RKF2UIdiOVKeLxnHdYT:7VTOYZWsJz3+WW+WF95OiDbKF2xP6T
  • : 5.432916
  • 防病毒软件: 无匹配

YARA规则
检测ASPX网页外壳样本的规则。

描述
此工件是一个恶意的ASPX文件,具有"Page_Load"事件处理程序,用于在服务器上构建和执行使用PowerShell的命令(图9)。执行时,该文件构建一个PowerShell命令,该命令从请求表单参数"p"中解码Base64字符串。解码后的字符串使用XOR函数和硬编码密钥"a859f0208777462899df67b3d81a7b8b"进行解密。解密的字节(命令)使用PowerShell命令执行。执行的PowerShell命令的标准输出转换为UTF-8字符串,然后使用相同的硬编码密钥通过XOR函数加密。加密的字节数据在通过"Response.Write"写入HTTP响应之前进行Base64编码。

关系摘要

  • 60a37499f9… 包含 bee94b93c1796981a55d7bd27a32345a61304a88ed6cd70a5f7a402f1332df72
  • bee94b93c1… 包含在 60a37499f9b02c203af24c2dfd7fdb3834cea707c4c56b410a7e68376938c4b7 中
  • 9340bf7378… 包含 675a10e87c248d0f629da864ba8b7fd92b62323c406a69dec35a0e6e1552ecbc
  • 675a10e87c… 包含在 9340bf7378234db5bca0dc5378bf764b6a24bb87a42b05fa21a996340608fbd7 中

建议

CISA建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全状况。任何配置更改应在实施前由系统所有者和管理员审查,以避免不必要的影

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次