CiberOps Blog de Ciberseguridad
El Red Team Ops (I) ha sido mi primera certificación, y he de decir que me ha encantado. Es una certificación que trata sobre las tácticas y técnicas que se utilizan en los ejercicios de Red Team y se centra en Cobalt Strike, enseñándote cómo utilizarlo desde cero.
Curso y laboratorio
El RTO consta del curso y el laboratorio, siendo posible examinarse sin adquirir estos. Respecto al curso, tienes acceso de por vida y Daniel Duggan (RastaMouse) lo va actualizando, tras el lanzamiento de Cobalt Strike 4.7 lo renovó y añadió cosas nuevas, puedes ver el índice de contenido aquí. Algunas partes están explicadas por escrito junto con la demostración en vídeo, considero que está bastante bien explicado todo. Además, incide en el OPSEC y detalla los eventos que genera Sysmon, por lo que es una certificación adecuada también para el Blue Team. Cabe mencionar que el curso actualmente cuesta £365, ha bajado de precio respecto a cuando salió y tras publicarse el RTO II, aunque antes incluía 40 horas de laboratorio.
En cuanto al laboratorio, en mi opinión le da mucho valor a esta certificación, te proporcionan Cobalt Strike y todas las herramientas necesarias. Anteriormente se adquiría por horas, pero recientemente lo han cambiado y ahora es una suscripción mensual de £20. Está en Snap Labs y se accede mediante web, la tecnología que utiliza es Apache Guacamole.
Dicho esto, os cuento un poco mi experiencia tanto en la realización del curso como del examen, posteriormente en otro artículo explicaré cómo solucioné algún error que me encontré y ciertos comandos que no vienen en el curso.
Cuando adquirí el curso apenas disponía de tiempo, y estudiaba mientras iba en el metro a realizar alguna auditoría en cliente. Para no perder horas del laboratorio pensé en estudiarme todo el curso y tener la teoría controlada antes de empezar a practicar, lo cual me he dado cuenta de que es un error, pues como realmente lo entiendes y aprendes mejor es practicando a la par. De la otra manera te cuesta más, y cuando vas a practicarlo ya no te acuerdas de todo, por lo que básicamente te lo tienes que volver a mirar y al final te lleva mucho más tiempo.
Empecé con el laboratorio un par de meses antes de examinarme, me dio tiempo a practicar todo más de una vez y apenas gasté poco más de la mitad de las horas incluidas con el curso.
Examen
El examen del RTO considero que no es muy complicado si has practicado lo suficiente y lo tienes controlado. Dispones de 48 horas divididas en 4 días para conseguir 8 flags, que es mucho (demasiado) tiempo; siendo necesario 6 flags para aprobar.
En concreto son 3 dominios y tienes que comprometer al menos 2. Desde que eliges la fecha de examen, que puedes agendar cualquier día a la hora que quieras, te proporcionan un README donde se explica que tienes que simular una APT que suele utilizar el phishing como vector de entrada y aprovecha fallos en la configuración del Directorio Activo. Sin embargo, en el examen se asume el compromiso inicial, proporcionándote acceso a una máquina del dominio con un usuario sin privilegios.
Para el examen llevaba preparado el profile, por lo que tardé poco en tener preparado el Team Server, conectarme con el cliente de Cobalt y crear los listeners. Lo siguiente era preparar el Artifact Kit y el Resource Kit, pero no estaban en la misma ubicación que en el laboratorio y no los encontraba por ningún lado en Windows. Resulta que se encontraban en /home/ubuntu, por lo que tras compilarlos pude proceder con el examen. Posteriormente me encontré otro problema, no se ejecutaba el payload en memoria en el equipo comprometido, aunque no lo detectaba el Defender ni salía ningún error, y llegaba a la URL. No es un problema que me hubiera encontrado en el laboratorio y por lo tanto estuve un rato insistiendo de esta manera, pero después me di cuenta que había algo que no había tenido en cuenta… por no recordar a qué aplicaba cierta restricción, es algo que se menciona brevemente en el curso.
Tras conseguir el beacon inicial todo fue rodado, a pesar de que había perdido tiempo al principio no me encontré con más problemas y en menos de 8 horas había conseguido 6 flags. Cabe mencionar que el laboratorio del examen se detiene cada 4 horas, lo cual yo desconocía, y tras la primera parada me di cuenta de que hasta entonces no había empezado a contar el tiempo. Estando ya aprobado y teniendo aún tiempo de sobra, unas 44 horas restantes por el bug, tras la segunda parada decidí continuar otro día. De esta manera, saqué la séptima flag y, aunque todavía me quedaba bastante tiempo, ya me di por satisfecho y lo dejé ahí.
En definitiva, el RTO es una certificación que recomiendo totalmente, en especial si eres pentester y vas a llevar a cabo ejercicios de Red Team. Yo he aprendido mucho y espero ponerme próximamente con el RTO II.
