kkFileView 被攻击溯源

kkFileView 被攻击取证@Rabbit

https://wiki.shikangsi.com/post/4082/

Rabbit：免备案匿名服务器就不会被社工了？？你在想屁吃！！

资产收集

举例：https://*.*.com

备案过的还敢攻击，家人们谁懂啊？？

攻击痕迹

对外请求记录

根据exp，我们得知攻击者C2的IP地址是:192.210.*.*

攻击者信息收集

域名

*.fr.to

*.ml

IP地址

148.135.*.*

通过IP信息，我们得到了IP地址范围（148.135.0.0 - 148.136.255.255）位于RIPE Network Coordination Centre （RIPE NCC）下。RIPE NCC是负责欧洲、中东和部分中亚地区的互联网资源管理的机构。这些地址已经被分配给RIPE NCC区域的用户。

责任机构：Brander Group Inc.

滥用举报：[email protected]

突破口

https://*.*.fr.to/explore/users

很明显攻击者对于Gitea的配置不熟练，没有禁止注册用户功能，也就是说我们可以得到他的邮箱信息。

攻击者画像

属地：中国

用户名：n*o

头像信息：

邮箱： *@gmail.com

C2注册时间估计：2024/01/30。

社交账号：V2EX › *

Github账号：*(github.com)

初步认定，该github账号使用者具有计算机、开发、网络安全属性，符合攻击者的人物画像。

issues

[bug] */websocket (github.com)

project

*/proxy-scanner (github.com)

*/dockerfile: *(github.com)

*/cron (github.com)

*/heroku-*(github.com)

在发布的ubuntu-go项目中，通过.Docker文件中的邮箱，我们能确定该github账号就是攻击者所使用的。

（我猜有人会问 为什么我不通过git log去看? 你管得着吗，滚）

结：攻击者有一定的安全能力，熟练使用go语言，具有稳定工作，年龄25-32左右，从2016年就开始当黑客了，但是互联网信息暴露的不多，属于是绝品老黑客。

题外话

同理，有个人直接用国内服务器攻击...

121.37.*.*，分别搭建了：Arl XSS平台 vulfocus 乌云镜像。。

还好把靶场关了 不然岂不是直接被人getshell服务器了。

阅读原文即可跳转至原文章

原文始发于微信公众号（F12sec）：【好文转载】kkFileView 被攻击溯源