Abstract
La certificazine CRTO (Certificate Red Team Operator) è un certificazione in ambito Red Team erogata da Zero-Point Security (https://www.zeropointsecurity.co.uk/↗), ente di formazione indipendente riconosciuto CREST (https://www.crest-approved.org/member_companies/zero-point-security-ltd/↗). Il corso è stato ideato e sviluppato da Daniel “RastaMouse” Duggan e affronta le molteplici fasi di un attività di Red Team, partendo dall’ingaggio, la pianificazione, l’OPSEC fino alla fase di esecuzione.
Corso
Il corso viene erogato totalmente online attraverso piattaforma di elerning e lab per testare le tecniche affrontate durante il modulo. I moduli sono svariati e comprendono:
- Ricognizione Esterna
- Compromissione iniziale
- Ricognizione Macchina Compromessa
- Persistenza sull’host
- Escalation dei privilegi (Host)
- Host Persistenza da System
- Dump credenziali
- Crack password
- Ricognizione Dominio
- User Impersonation
- Movimento laterale
- Passaggio di sessione
- Api di protezione dei dati
- Kerberos
- Pivoting
- Active Directory Certificate Services
- Group Policy (GPO)
- MS SQL SERVER
- Gestione configurazione Microsoft SCCM
- Dominio del dominio
- Trust Forestali e di dominio
- Local Administrator Password Solution
- Antivirus Microsoft Defender
- Whitelist delle Applicazioni
- Caccia ai Dati e Esfiltrazione
- Personalizzazione C2
La fase di esecuzione viene eseguita tramite il framewrk C2 Cobal-strike che diventa perno centrale di tutta l’attività e elemento imprescendibile per tutta la duranta del corso e dell’esame.
Il corso ti guida attraverso molte tecniche che un Rea Team Operator deve far sue per poter affrontare l’ingaggio nel migliore dei modi e sopratutto per avere una mentalità OPSEC, essenziali per operazioni di Red Team che richiedono una forte capacità di passare sotto i radar del Blue Team.
Ogni modulo aggiunge complessità alla compromissione e permette di prendere confidenzialità con il C2, considerand che la prima run del corso viene erogata con antivirus (windows defender) disabilitato su tutte le macchine. è la seconda run che diventa più impegnativa e interessando quando devi rieseguire i moduli, ma questa volta con antivirus in esecuzione sulle macchine. Qui vengono poi introdotti nuovi argomenti come EDR bypass, personalizzazione del C2 per creare artifact e implant che non vengano riconosciunti come malevoli dalle soluzioni di sicurezza.
Esame
L’esame si svolge in un totale di 48 ore, dove sarà richiesto di compromettere una workstation e da li continuare “l’irruzione” dei vari domini collegati.
La parte fondamentale dell’esame è stata quella relativa alla personalizzazione degli artifact e degli implant, che porta via diverso tempo prima dell’inizio dell’attacco effettivo ai nostri bersagli. Questo elemnto risulta essere essenziale in quanto una errore in questa fase può compromettere diverse ore di compromissione delle macchine e dei domini.
Diverse le tecniche richieste per l’ottenimento delle Flag:
- ricognizione della macchine e dominio
- persistenza
- escaletion dei privilegi
- dump credenziali
- attacchi kerberos
- movimenti laterale tramite furto ticket di sessione e impersonificazione
- contraffazione certificati.
Considerazioni
Il corso è sicuramente un ottima soluzione per chi cerca una formazione verticalizzata su tecniche di Red Team e OPSEC. Gli argomenti sono ben spiegati e le lezioni video mostrano una maturità elevanta da parte di Zero-Point Security.
Il forte utilizzo di Cobalt-strike potrebbe risultare un pò limitante per eventuali team che si affidano ad altri C2, ma i concetti di base sono gli stessi per qualsiasi attività di Red Team.