Security.evtxを調査して不審なログインの日時を特定せよという問題。
Yamato Security(大和セキュリティ) の HAYABUSA を初めてCTFで使う。
C:\Users\housu_jp\Desktop\hayabusa-2.12.0-windows-64-bit>hayabusa-2.12.0-win-x64.exe csv-timeline -d C:\Users\housu_jp\Downloads\csirt_asks_you_01_58f6cd661d82e80c83f48b7db0c19e5297f0f74f
1~3は良い反応がない。
4. All alert rulesで
User Added To Local Admin Grp (2)は、ハズレ。
CSVがBOM付きではないので、面倒。(`ヘ´) プンプン。
Logon Failure がたくさんある。
まず、 PW Guessing (3) を調べる
接続元IPアドレス、10.1.2.120と192.168.224.120があやしい
素直にLog Parserを使う
まずは、イベントID 4624 かつ 接続元 10.1.2.120
C:\Program Files (x86)\Log Parser 2.2>LogParser -i evt "Select * From C:\Users\housu_jp\Downloads\csirt_asks_you_01_58f6cd661d82e80c83f48b7db0c19e5297f0f74f\Security.evtx Where EventID = 4624 AND Strings like '%10.1.2.120%'"
統計情報:
---------
処理された要素: 13876
出力された要素: 0
実行時間: 0.64 秒
次は、イベントID 4624 かつ 接続元 192.168.224.120
C:\Program Files (x86)\Log Parser 2.2>LogParser -i evt "Select * From C:\Users\housu_jp\Downloads\csirt_asks_you_01_58f6cd661d82e80c83f48b7db0c19e5297f0f74f\Security.evtx Where EventID = 4624 AND Strings like '%192.168.224.120%'"
EventLog RecordNumber TimeGenerated TimeWritten EventID EventType EventTypeName EventCategory EventCategoryName SourceName Strings ComputerName SID Message Data
------------------------------------------------------------------------------------------------- ------------ ------------------- ------------------- ------- --------- ------------------- ------------- ----------------------------------------------------------------------------------------------------------------------------------------- ----------------------------------- ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------ ------ ------------------------------------------------------------------------------------------------------------------------------------------- ------
C:\Users\housu_jp\Downloads\csirt_asks_you_01_58f6cd661d82e80c83f48b7db0c19e5297f0f74f\Security.evtx 11874 2021-07-19 05:09:21 2021-07-19 05:09:21 4624 8 Success Audit event 12544 カテゴリ 12544 の名前がソース "Microsoft-Windows-Security-Auditing" に見つかりません。ローカルコンピュータに必要なレジストリ情報がないか、リモートコンピュー タのメッセージを表示するためのメッセージ DLL ファイルがありません。 Microsoft-Windows-Security-Auditing S-1-0-0|-|-|0x0|S-1-5-21-3590118637-3649102893-3870174881-1002|test|STELLA-PC|0x76ba89|3|NtLmSsp |NTLM|lizardface|{00000000-0000-0000-0000-000000000000}|-|NTLM V2|128|0x0|-|192.168.224.120|0|%%1833|-|-|-|%%1843|0x0|%%1843 stella-pc <NULL> イベント ID 4624 (ソース "Microsoft-Windows-Security-Auditing") の説明が見つかりません。ローカルコンピュータはレジストリ情報またはリモートコンピュータからメッセージを表示するためにメッセージ DLL ファイルを必要としています。 <NULL>
統計情報:
---------
処理された要素: 13876
出力された要素: 1
実行時間: 0.60 秒
ログインは1件だけ
これが正解でした。
速い。