Petite frappe

Contexte

Une intrusion a été détectée sur le réseau.

Un attaquant semble avoir tenté de s’authentifier avec le compte utilisateur "apssis" à plusieurs reprises, mais par chance, il n’a pas réussi à découvrir le mot de passe.

La traçabilité des échecs d’authentification a été activée sur la machine Windows 10 sur laquelle il a tenté de s’introduire.

Les évènements de sécurité Windows ont été extraits et vous sont fournis.

Pour valider ce challenge, vous devrez donner le nombre exact de tentatives infructueuses de connexion au compte utilisateur apssis.

Le ficher evtx

On nous donne un fichier "security_events.evtx" avec 3850 events.

Que dit Microsoft ?

D'après la doc de Microsoft, un utilisateur qui tente de s'authentifier avec un mot de passe incorrect, lève un événement ayant pour code d'état : 0XC000006A

Recherche des events

Après avoir passé le fichier evtx en .csv, je le parse via grep.

Je remarque qu'il va falloir faire attention car il y a deux utilisateurs : charles et apssis.

Je trouve 42 events avec le code d'erreur correspondant, mais certains d'entre eux sont peut être des erreurs de charles.

cat security_events.csv |grep -n '0xC000006A'
36:     Sous-état :             0xC000006A
86:     Sous-état :             0xC000006A
136:    Sous-état :             0xC000006A
186:    Sous-état :             0xC000006A
436:    Sous-état :             0xC000006A
486:    Sous-état :             0xC000006A
536:    Sous-état :             0xC000006A
586:    Sous-état :             0xC000006A
836:    Sous-état :             0xC000006A
886:    Sous-état :             0xC000006A
936:    Sous-état :             0xC000006A
986:    Sous-état :             0xC000006A
1380:   Sous-état :             0xC000006A
1430:   Sous-état :             0xC000006A
1480:   Sous-état :             0xC000006A
1530:   Sous-état :             0xC000006A
1580:   Sous-état :             0xC000006A
1630:   Sous-état :             0xC000006A
2953:   Sous-état :             0xC000006A
3003:   Sous-état :             0xC000006A
3053:   Sous-état :             0xC000006A
3103:   Sous-état :             0xC000006A
3153:   Sous-état :             0xC000006A
3203:   Sous-état :             0xC000006A
3953:   Sous-état :             0xC000006A
4003:   Sous-état :             0xC000006A
4053:   Sous-état :             0xC000006A
4103:   Sous-état :             0xC000006A
4153:   Sous-état :             0xC000006A
4203:   Sous-état :             0xC000006A
4253:   Sous-état :             0xC000006A
4672:   Sous-état :             0xC000006A
4722:   Sous-état :             0xC000006A
4772:   Sous-état :             0xC000006A
4822:   Sous-état :             0xC000006A
4872:   Sous-état :             0xC000006A
4922:   Sous-état :             0xC000006A
4972:   Sous-état :             0xC000006A
5534:   Sous-état :             0xC000006A
5584:   Sous-état :             0xC000006A
5634:   Sous-état :             0xC000006A
5684:   Sous-état :             0xC000006A
onosh@labrioche:$ cat security_events.csv |grep -n '0xC000006A' |wc -l
42

J'applique un second tri sur l'utilisateur apssis :

cat security_events.csv |grep -n '0xC000006A' -B6 |grep apssis
30-     Nom du compte :         apssis
80-     Nom du compte :         apssis
130-    Nom du compte :         apssis
180-    Nom du compte :         apssis
430-    Nom du compte :         apssis
480-    Nom du compte :         apssis
530-    Nom du compte :         apssis
580-    Nom du compte :         apssis
880-    Nom du compte :         apssis
930-    Nom du compte :         apssis
980-    Nom du compte :         apssis
1374-   Nom du compte :         apssis
1424-   Nom du compte :         apssis
2947-   Nom du compte :         apssis
2997-   Nom du compte :         apssis
3047-   Nom du compte :         apssis
3097-   Nom du compte :         apssis
3147-   Nom du compte :         apssis
3197-   Nom du compte :         apssis
3947-   Nom du compte :         apssis
3997-   Nom du compte :         apssis
4047-   Nom du compte :         apssis
4097-   Nom du compte :         apssis
4147-   Nom du compte :         apssis
4197-   Nom du compte :         apssis
4247-   Nom du compte :         apssis
4666-   Nom du compte :         apssis
4716-   Nom du compte :         apssis
4766-   Nom du compte :         apssis
4816-   Nom du compte :         apssis
4866-   Nom du compte :         apssis
4916-   Nom du compte :         apssis
4966-   Nom du compte :         apssis
5528-   Nom du compte :         apssis
5578-   Nom du compte :         apssis
5628-   Nom du compte :         apssis
5678-   Nom du compte :         apssis
onosh@labrioche:$ cat security_events.csv |grep -n '0xC000006A' -B6 |grep apssis |wc -l
37

Le flag est : 37

Dernière mise à jour