认证红队操作员(CRTO)--红队行动一回顾

  • A+

简述

原文:https://blog.zsec.uk/crto-review/
标题:Certified Red Team Operator (CRTO) - Red Team Ops I Review
(直译:认证红队操作员(CRTO)--红队行动一回顾)

作者:ANDY GILL

发布日期:2021年1月1日


image.png
因此,在我的圣诞假期,我决定从白天的工作中抽出一些休息时间,参加ZeroPointSecurity(ZPS)的回顾(RTO)课程。 截至01/01/2021,我已经通过了认证红队操作员Certified Red Team Operator(CRTO)的考试,这也是为2020年画上一个圆满的句号。

image.png
本帖是对教材、实验室和考试环境的概述和回顾(但由于是考试,细节方面的原因会很简单)。
我很惊讶于外面缺乏评论,因为有超过600名学生报名参加课程,在写这篇文章的时候,还有几篇来自参加考试的人的评论,有的细节很少,有的要求的内容很广泛。
* https://chosenhacks.com/certified-red-team-operator-course-review/
* https://v3ded.github.io/misc/certified-red-team-operator-crto-review
* https://chousensha.github.io/blog/2020/07/19/my-review-of-red-team-ops/
* https://anotherhackerblog.com/red-team-operator-review/
* https://medium.com/@chopicalqui/certified-red-team-operator-review-5de703d52f91
看过所有的书,v3ded肯定是最深入的一本,涵盖了他们参加课程/考试时的不同方面。

先决条件

在报名参加课程之前,值得注意的是,为了让你更好的成功,需要一些硬件和知识的先决条件。从技术角度来看,对PowerShell和C#的工作原理有一点了解是很有用的,但这两者都不是让你成功的硬性要求,因为课程内容会让你更好地了解每一个内容。另外,从技术角度来看,了解如何在Visual Studio中编译C#二进制文件是非常重要的(课程中会有解释,而且你会做很多)。

从硬件的角度来看,有两个虚拟机可以下载,一个是Kali,一个是Windows 10,我建议你对这两个虚拟机都要适应,因为你会在课程和考试中交替使用这两个虚拟机,因此所需的硬件最好是一台可以分配到6GB内存的笔记本电脑。我建议你使用16GB的内存,但同样你也可以使用8GB的内存,在磁盘需求方面,120GB是最低要求,但我建议你使用250GB的内存,以满足快照的需求(是的,我建议你在每个旗帜之后都要进行快照,以便在出现故障时能够轻松恢复)。

image.png
所需的虚拟机可以提前从以下网址下载(这两个都是公开的链接,所以不会提前给你链接而泄露任何课程细节):
为了方便安装,请从以下网站抓取Windows 10镜像:

https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/  

和一个Kali Linux镜像,来自:

https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/
在课程材料中,有两个针对两种操作系统的安装脚本,用于下载每台机器的相关工具。每个脚本都将以与正确的工具配合的方式配置操作系统,并实现从标准安装到在实验室中执行工具所需的无缝过渡。

概述

"红队行动是一门在线课程,教授基本原则、工具和技术,是红队的代名词。 学生将被授予访问课程材料(书面和视频格式)和访问完全沉浸式实验室的权利,在那里他们将学习和进行从OSINT到完全领域接管的攻击生命周期的每个阶段。" - ZPS

在报名参加课程时,根据你想要的实验时间长短,有三种选择。30天、60天和90天。由于我有几个星期的假期,我选择了30天(应该注意的是,如果你有时间,实验室是可以在这个时间内轻松完成的,显然这取决于你在课程前的经验,以及你是否把Red Team/Pentesting作为日常工作)。需要注意的是,无论你选择什么方案,你都可以获得实验室、资料和一次考试的机会。

需要注意的是,当您购买三者之一时,您会被提示输入一个开始日期和时间,这将触发一个自动过程,将在那个确切的时间通过电子邮件向您发送详细信息。您将无法在这个时间之前获得访问权,所以请记住这一点。您也不能更改开始时间,所以请谨慎选择。

image.png
一旦您注册后,您将在上面截图中指定的确切时间(或前后)收到材料。请注意,订单将作为待定,直到你说的时间,所以不用担心(我很困惑,在这也由Rastamouse确认这是所有良好的和预期)。

image.png

成本核算

在撰写本文时,不同选项的费用如下,在您付款之前,该网站不会向您显示最终价格,因此显示的费用不包括增值税(我在下表中做了方便的表格,向您显示 总成本公司增值税(VAT))。 此外,由于ZPS是一家英国公司,因此费用也以英镑为单位,因此,如果您是从英国境外注册,则可能需要考虑这一点,并且税费可能会更高。

image.png
如果你需要延期或重考,那么在写稿时的费用如下,一旦你报名,你会得到如何报名的信息。注意重考只有在你不及格的情况下才有可能,比如说你不能提前购买两次考试。

image.png

课程: 概述

总的来说,零点安全的CRTO课程还算不错,它针对的是那些对渗透测试有基本了解,并开始对红队有更多了解的人。对于大多数人来说,一个典型的学习路径可能是学习OSCP,然后进行课程,并实现他们的CRTO,但它不是强制性的,首先采取OSCP,有些人可能会发现它更容易,只是做CRTO。

该课程涵盖了一些基础的红队技术,其中包括以下几个方面,这些都涵盖了,并通过实例指导,使学生能够按照自己的节奏进行学习。
* External Reconnaissance
* Initial Compromise
* Host Reconnaissance
* Persistence
* Local Privilege Escalation
* Domain Reconnaissance
* Credentials & User Impersonation
* Lateral Movement
* Session Passing
* SOCKS Proxies
* Reverse Port Forwards
* Data Protection API (DPAPI)
* Kerberos Abuse
* Group Policy Abuse
* MS SQL Server Abuse
* Domain Dominance
* Domain & Forest Trusts
* Bypassing Defences

课程:平台

该课程是托管在一个在线平台,称为canvas,作为一个在线学习环境与集成到badgr,学生可以跟踪他们的进度。实际的内容本身已经更新到一个积极的在线学习环境(我的理解是,在最初的发布是在一个PDF的形式2020年初)。

它不是强制性的注册badgr,但它确实使你获得虚拟成就的每一个模块,你完成和提交相关的标志(S)为每个任务。

image.png
只要完成课程,你就可以收集总共9枚獾徽章,此外,在所有9枚徽章都收集完毕后,还可以再收集一枚::

image.png
除了完成课程外,当您完成考试(最低分数达到75%)并获得CRTO徽章时,您还将获得两个额外的徽章:

image.png
第一个是为了完成考试,如果你成功完成了实验室的所有徽章,加上考试完成,你将获得下面的红色团队运营I红色徽章:

image.png
eu.badgr.com
该平台还提供了评估的自动评分功能,这使得在整个课程中进行各种评估时获得轻松愉快的体验。这也意味着,当你提交考试的旗帜时,几分钟内就能知道你是通过了还是失败了,而不是连续等待数周。

image.png
该平台的各个部分被分成教学大纲中的每个主题,每个主题都有几个可以通读的例子。

image.png
有足够的内容可以帮助您入门,但是鼓励您学习更多的笔记和技巧,这些都是值得探索的。 即使您的实验室时间到期,课程和松弛访问也将保留,因为这是滚动课程,因此内容将随时更新。

课程:学习资料

总的来说,不同的部分大部分都解释的很清楚,但是有一些部分是非常多的情况下,这里是一个例子,现在去做其他的,没有额外的信息。 所有的材料都存放在Canvas上,这是学习平台。

我一开始觉得这些有点难,但在自己的实验室里站起来解决问题,并研究出它们在引擎盖下是如何工作的之后,它变得更有意义了。 现在并不是说,通过模块的方式是在自己的实验室中复制问题,但它确实有助于了解问题是如何创建的,以便利用它,有一个非常有用的Slack频道的课程提供给所有注册的人,在那里你可以提出问题。

该课程以书面例子和一些视频来展示不同C2工具上的各种技术的功能,在写这篇文章的时候,使用的两个工具是Covenant(开源)和Cobalt Strike(商业)。

欢迎你使用任何你喜欢的C2来进步,但这是材料中唯一支持的两个。我用PoshC2和Empire这两个开源的C2框架回溯了一遍内容。我这样做是为了能够更好的理解材料,以及不同的工具在不同的工作中是如何工作的,随着课程的不断更新,谁知道呢,也许Rasta会包括其他C2所需的步骤。

每个模块中都有几个部分解释了一个技术如何工作,需要什么工具,以及如何做每个C2,然而我发现有些部分只有一个或其他的说明,但不是两者。Rastamouse会带你通过一个例子,然后这个例子之后是一个评估(稍后会有更多关于实验室结构的内容)。一旦你做了一个评估,你将获得一个徽章(大多数),一些评估需要多个部分实现之前的徽章将被授予。

作为一门课程,总的来说,它是一个很好的起点,材料很好地解释了进行参与所需的核心主题。唯一缺少的是适当的评估,以衡量时间和记录保存,这是进行任何红队评估时的关键。

课程:实验

这个实验室是我遇到的比较好的一个实验室,材料帮助你穿越各种主机,每个模块都有几种方法来实现目标,结果实验室里有好几个主机,可以让你方便的进行pwnage!

Rastamouse在实验室里做得很好,因为它经常更新windows的更新和补丁,使你能够测试你的枚举技能,而不是弹出MS08或EternalBlue,你被迫枚举不同的主机,你登陆,材料作为一个伟大的指南,在哪里寻找的东西。

我注意到的一件事是, HTB上的Rastalabs (RL)是一个很好的对比,因为它也是他自己写的,而RL遵循的是一个类似CTF的场景,没有指导,RTO则更有指导性,可以让你尝试不同的技术。实验室内的机器都是运行Windows 10和Server 2016,并保持更新,与RL类似。

RTO实验室与其他如进攻性安全(OSCP等)实验室的一个关键区别是,为了获得不同的目标,你并不总是需要获得机器上的管理权限,而是通过技术和概念使你能够实现目标。

更类似于现实世界的参与,也像现实世界一样,很少关注获得域管理权,更多的是关注实现具体的目标,而这些目标在这个例子中是以标志的形式出现的。

实验室:Tradecraft

在穿越实验室方面,如前所述,命令和控制框架有两个支持的选项,在课程的初始运行过程中,我使用了Cobalt Strike。课程和实验室的一大特点是,重点不在特定的框架上,而更多的是可以灵活使用的工具,tradecraft在可能的情况下非常倾向于.NET和PowerShell。然而,由于我想尽可能多地从实验室中获得更多的东西,所以我选择了使用C#和反射式加载。

这也让我能够在Cobalt Strike上播放测试https://twitter.com/_EthicalChaos_的https://github.com/CCob/BOF.NET,如果你在日常工作中使用Cobalt Strike的话,它是非常棒的,值得一看。它的作用是替代execute-assembly,并能更容易地绕过AV检查和类似的检查,使你能在内存中自由操作。

实验室内几乎所有的工具都有C#变体,感谢SharpAllTheThings,有很多工具可以让你根据自己的喜好进行调整和编译,以便在实验室和工作中使用。当涉及到C#时,一个重要的注意点是,当我在实验室里注意到的东西是学生们在左、右、中心丢弃二进制文件,从这一切中,最重要的事情之一是OPSEC是重要的,所以清理后自己,如果你不需要,尽量不要把东西放在磁盘上。

社区:Slack

除了课程材料,注册还授予你访问ZPS slack的权限,它有几个频道,但课程的专用频道,人们可以就他们遇到的问题提问。我没有使用它太多,但当我提出问题时,有的人在现场帮助,这是可爱的。

它还有一个普通频道和一个通知频道,所以你可以看到你的实验室实例是否正在重启或已被重置(我用了几次来解决为什么我的信标已经死了!)。

与课程材料类似,在你的实验室时间到期后,你仍然保留对Slack的访问权,这意味着你可以与学生聊天,了解所有事情的进展。课程的新更新会通过电子邮件发送,但也会通过slack通知。

考试:我熬过了24小时的痛苦。

课程费用中包含一次考试,考试本身为48小时。考试中有四(4)个标志,您必须通过Canvas上的期末考试标志提交作业获取并提交。它们被命名为flag1.txt至flag4.txt,格式为RTO{flag}。为了通过考试并获得徽章,你需要至少有三(3)个标志(75%)。

我看过的其他关于该课程的评论都说考试很简单,有些人甚至说它比课程还简单。我可以向你保证,我并不觉得它容易,有一些部分比其他部分容易,但很多考试都是硬核的列举和发挥课程材料中的小细节。

一般来说,我的考试压力很大,通常都会失败,但庆幸的是这次第一次就通过了! 就课程教材与考试中的内容而言,考试中并没有什么课程中没有的内容,然而由于课程中的一些例子轻细节,考试内容就多了很多,这让我连续几个小时上网查了很多奇怪的错误信息! 现在回想起来感觉很像现实世界的情况。

如果你在看这篇文章,并考虑做课程和考试,我给你一个关键的建议是TAKE YOUR OWN NOTES,把不同的技术详细记录下来。另外,当你在实验室里有一个例子时,试着使用其他工具,就像在现实世界中一样,不是每项工作都只有一种工具可以用,在实验室里有多种工具可以用,你永远不知道它可能会对你有帮助。

考试本身是所有在线和不同的OSCP和其他考试没有书面内容,因此,所有需要的是标志,以通过,这需要一个负荷,通过它时,你的压力水平。再次与大多数的评论,我读到目前为止,完成的平均时间是在24小时以下,但你有48做它,所以有足够的时间。它也是开放的书,所以你可以访问互联网等,因为你会在现实世界中感谢。

我不能透露任何细节的具体内容在考试中,但我会说的是,虽然它可能会觉得像一个真实的世界的考试,有一定的步骤,可以采取,你可能不会做一个真正的参与,可能会帮助你。另外,在课程和考试中通过具体的场景工作时,以下资源真的帮助了我。
* https://www.ired.team/ - 这个网站上有很多提示,当你遇到任何问题时,这些提示都非常有用。
* https://book.hacktricks.xyz/windows/basic-powershell-for-pentesters - 由于我试图在可能的情况下使用C# tradecraft,我的powershell是最小的,但是这个网站有很多提示和技巧,一些单行线对枚举非常有用。
* http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/ - 在课程中,有一整个模块是关于域名信托的,但细节可以借助harmj0y的博客进行更多的拓展。
* https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f - SpectreOps 提供了一些很棒的内容,这篇博客文章对于枚举非常有用。
* https://github.com/hausec/Bloodhound-Custom-Queries - 这些额外的数字对bloodhound 来说是非常有用的!

总结

image.png
由于我的$dayjob由红队和紫队组成,课程很好地扩展了一些你不一定能练习到的主题。此外,增加了一个实验室来玩总是很有趣,并给了我一些想法,在我自己的家庭实验室中运行的场景。我希望这个认证能在社区内得到更多的认可,并可能与其他组织进行一些配对,使其进一步提升。

任何事情都有改进的空间,总的来说,内容很好。有一些部分可以扩展更多,但如果有的话,他们鼓励你去做自己的研究,以更好地理解主题,这不是一件坏事。

我真的很喜欢这门课程的整体内容,虽然考试很痛苦,但很有趣,让我久久不能忘怀! 就RTO与Rastalabs的难度而言,我想说RL比较难,纯粹是因为它没有指南一起。如果你没有做过任何一个,但又想同时做两个,那么我建议你先做RTO,让你在RL的CTF上有一定的地位。

考虑到我在圣诞节期间的休息时间,我只是花了30天的时间做了一个课程和考试,这是非常愉快的。感谢Rastamouse提供的精彩课程和内容。
https://twitter.com/_RastaMouse

干杯,伙计们,一个伟大的开始到2021年!