Petite frappe

Contexte

Une intrusion a été détectée sur le réseau.

Un attaquant semble avoir tenté de s’authentifier avec le compte utilisateur "apssis" à plusieurs reprises, mais par chance, il n’a pas réussi à découvrir le mot de passe.

La traçabilité des échecs d’authentification a été activée sur la machine Windows 10 sur laquelle il a tenté de s’introduire.

Les évènements de sécurité Windows ont été extraits et vous sont fournis.

Pour valider ce challenge, vous devrez donner le nombre exact de tentatives infructueuses de connexion au compte utilisateur apssis.

Le ficher evtx

On nous donne un fichier "security_events.evtx" avec 3850 events.

Que dit Microsoft ?

D'après la doc de Microsoft, un utilisateur qui tente de s'authentifier avec un mot de passe incorrect, lève un événement ayant pour code d'état : 0XC000006A

Recherche des events

Après avoir passé le fichier evtx en .csv, je le parse via grep.

Je remarque qu'il va falloir faire attention car il y a deux utilisateurs : charles et apssis.

Je trouve 42 events avec le code d'erreur correspondant, mais certains d'entre eux sont peut être des erreurs de charles.

J'applique un second tri sur l'utilisateur apssis :

Le flag est : 37