Petite frappe

Contexte

Une intrusion a été détectée sur le réseau.

Un attaquant semble avoir tenté de s’authentifier avec le compte utilisateur "apssis" à plusieurs reprises, mais par chance, il n’a pas réussi à découvrir le mot de passe.

La traçabilité des échecs d’authentification a été activée sur la machine Windows 10 sur laquelle il a tenté de s’introduire.

Les évènements de sécurité Windows ont été extraits et vous sont fournis.

Pour valider ce challenge, vous devrez donner le nombre exact de tentatives infructueuses de connexion au compte utilisateur apssis.

Le ficher evtx

On nous donne un fichier "security_events.evtx" avec 3850 events.

Que dit Microsoft ?

D'après la doc de Microsoft, un utilisateur qui tente de s'authentifier avec un mot de passe incorrect, lève un événement ayant pour code d'état : 0XC000006A

Recherche des events

Après avoir passé le fichier evtx en .csv, je le parse via grep.

Je remarque qu'il va falloir faire attention car il y a deux utilisateurs : charles et apssis.

Je trouve 42 events avec le code d'erreur correspondant, mais certains d'entre eux sont peut être des erreurs de charles.

cat security_events.csv |grep -n '0xC000006A'
36:     Sous-état :             0xC000006A
86:     Sous-état :             0xC000006A
136:    Sous-état :             0xC000006A
186:    Sous-état :             0xC000006A
436:    Sous-état :             0xC000006A
486:    Sous-état :             0xC000006A
536:    Sous-état :             0xC000006A
586:    Sous-état :             0xC000006A
836:    Sous-état :             0xC000006A
886:    Sous-état :             0xC000006A
936:    Sous-état :             0xC000006A
986:    Sous-état :             0xC000006A
1380:   Sous-état :             0xC000006A
1430:   Sous-état :             0xC000006A
1480:   Sous-état :             0xC000006A
1530:   Sous-état :             0xC000006A
1580:   Sous-état :             0xC000006A
1630:   Sous-état :             0xC000006A
2953:   Sous-état :             0xC000006A
3003:   Sous-état :             0xC000006A
3053:   Sous-état :             0xC000006A
3103:   Sous-état :             0xC000006A
3153:   Sous-état :             0xC000006A
3203:   Sous-état :             0xC000006A
3953:   Sous-état :             0xC000006A
4003:   Sous-état :             0xC000006A
4053:   Sous-état :             0xC000006A
4103:   Sous-état :             0xC000006A
4153:   Sous-état :             0xC000006A
4203:   Sous-état :             0xC000006A
4253:   Sous-état :             0xC000006A
4672:   Sous-état :             0xC000006A
4722:   Sous-état :             0xC000006A
4772:   Sous-état :             0xC000006A
4822:   Sous-état :             0xC000006A
4872:   Sous-état :             0xC000006A
4922:   Sous-état :             0xC000006A
4972:   Sous-état :             0xC000006A
5534:   Sous-état :             0xC000006A
5584:   Sous-état :             0xC000006A
5634:   Sous-état :             0xC000006A
5684:   Sous-état :             0xC000006A
onosh@labrioche:$ cat security_events.csv |grep -n '0xC000006A' |wc -l
42

J'applique un second tri sur l'utilisateur apssis :

cat security_events.csv |grep -n '0xC000006A' -B6 |grep apssis
30-     Nom du compte :         apssis
80-     Nom du compte :         apssis
130-    Nom du compte :         apssis
180-    Nom du compte :         apssis
430-    Nom du compte :         apssis
480-    Nom du compte :         apssis
530-    Nom du compte :         apssis
580-    Nom du compte :         apssis
880-    Nom du compte :         apssis
930-    Nom du compte :         apssis
980-    Nom du compte :         apssis
1374-   Nom du compte :         apssis
1424-   Nom du compte :         apssis
2947-   Nom du compte :         apssis
2997-   Nom du compte :         apssis
3047-   Nom du compte :         apssis
3097-   Nom du compte :         apssis
3147-   Nom du compte :         apssis
3197-   Nom du compte :         apssis
3947-   Nom du compte :         apssis
3997-   Nom du compte :         apssis
4047-   Nom du compte :         apssis
4097-   Nom du compte :         apssis
4147-   Nom du compte :         apssis
4197-   Nom du compte :         apssis
4247-   Nom du compte :         apssis
4666-   Nom du compte :         apssis
4716-   Nom du compte :         apssis
4766-   Nom du compte :         apssis
4816-   Nom du compte :         apssis
4866-   Nom du compte :         apssis
4916-   Nom du compte :         apssis
4966-   Nom du compte :         apssis
5528-   Nom du compte :         apssis
5578-   Nom du compte :         apssis
5628-   Nom du compte :         apssis
5678-   Nom du compte :         apssis
onosh@labrioche:$ cat security_events.csv |grep -n '0xC000006A' -B6 |grep apssis |wc -l
37

Le flag est : 37

PrécédentDICOM SuivantDropper [.docx]

Dernière mise à jour il y a 2 ans

cat security_events.csv |grep -n '0xC000006A' 36: Sous-état : 0xC000006A 86: Sous-état : 0xC000006A 136: Sous-état : 0xC000006A 186: Sous-état : 0xC000006A 436: Sous-état : 0xC000006A 486: Sous-état : 0xC000006A 536: Sous-état : 0xC000006A 586: Sous-état : 0xC000006A 836: Sous-état : 0xC000006A 886: Sous-état : 0xC000006A 936: Sous-état : 0xC000006A 986: Sous-état : 0xC000006A 1380: Sous-état : 0xC000006A 1430: Sous-état : 0xC000006A 1480: Sous-état : 0xC000006A 1530: Sous-état : 0xC000006A 1580: Sous-état : 0xC000006A 1630: Sous-état : 0xC000006A 2953: Sous-état : 0xC000006A 3003: Sous-état : 0xC000006A 3053: Sous-état : 0xC000006A 3103: Sous-état : 0xC000006A 3153: Sous-état : 0xC000006A 3203: Sous-état : 0xC000006A 3953: Sous-état : 0xC000006A 4003: Sous-état : 0xC000006A 4053: Sous-état : 0xC000006A 4103: Sous-état : 0xC000006A 4153: Sous-état : 0xC000006A 4203: Sous-état : 0xC000006A 4253: Sous-état : 0xC000006A 4672: Sous-état : 0xC000006A 4722: Sous-état : 0xC000006A 4772: Sous-état : 0xC000006A 4822: Sous-état : 0xC000006A 4872: Sous-état : 0xC000006A 4922: Sous-état : 0xC000006A 4972: Sous-état : 0xC000006A 5534: Sous-état : 0xC000006A 5584: Sous-état : 0xC000006A 5634: Sous-état : 0xC000006A 5684: Sous-état : 0xC000006A onosh@labrioche:$ cat security_events.csv |grep -n '0xC000006A' |wc -l 42

cat security_events.csv |grep -n '0xC000006A' -B6 |grep apssis 30- Nom du compte : apssis 80- Nom du compte : apssis 130- Nom du compte : apssis 180- Nom du compte : apssis 430- Nom du compte : apssis 480- Nom du compte : apssis 530- Nom du compte : apssis 580- Nom du compte : apssis 880- Nom du compte : apssis 930- Nom du compte : apssis 980- Nom du compte : apssis 1374- Nom du compte : apssis 1424- Nom du compte : apssis 2947- Nom du compte : apssis 2997- Nom du compte : apssis 3047- Nom du compte : apssis 3097- Nom du compte : apssis 3147- Nom du compte : apssis 3197- Nom du compte : apssis 3947- Nom du compte : apssis 3997- Nom du compte : apssis 4047- Nom du compte : apssis 4097- Nom du compte : apssis 4147- Nom du compte : apssis 4197- Nom du compte : apssis 4247- Nom du compte : apssis 4666- Nom du compte : apssis 4716- Nom du compte : apssis 4766- Nom du compte : apssis 4816- Nom du compte : apssis 4866- Nom du compte : apssis 4916- Nom du compte : apssis 4966- Nom du compte : apssis 5528- Nom du compte : apssis 5578- Nom du compte : apssis 5628- Nom du compte : apssis 5678- Nom du compte : apssis onosh@labrioche:$ cat security_events.csv |grep -n '0xC000006A' -B6 |grep apssis |wc -l 37