16 jun. 2020

Red Team Ops - Algo más que un simple certificado

Por el 16 jun. 2020 con 0 comentarios
¡Muy buenas a todos!

Hace unos meses tuve el placer de formar parte de la primera/segunda camada de personas en realizar el curso creado y desarrollado por @_rastamouse, Red Team Ops. Hoy, os vengo a dar mis impresiones.

¿Qué es RTO?


Para los que no lo conozcais, Red Team Ops es -y cito textualmente- un curso que enseña los principios, herramientas y técnicas básicas relacionadas con los ejercicios de Red Team. El público objetivo va desde perfiles junior o recién llegados al mundo de la seguridad, hasta aquellos perfiles más sénior que quieren seguir desarrollando sus capacidades técnicas. El entorno sobre el que se centra la certificación es Windows y toda la documentación se centra en ataques a Directorio Activo. Nada de exploits, ni de herramientas automáticas; encontrar fallos de configuración o errores será la principal vía de ataque a lo largo del curso.


Contenido facilitado

Una vez nos matriculemos, recibiremos lo siguiente:
  • Un entorno de máquinas virtuales formadas por una Kali y un Windows 10 que podremos usar para realizar la certificación. No es obligatorio su uso, pero si muy recomendable para evitar problemas de compatibilidad con el laboratorio.
  • Acceso a un Canvas donde podremos encontrar toda la documentación relativa al curso. Esta documentación está en constante cambio y con acceso perpetuo.
  • Acceso al laboratorio mediante VPN (15, 30, 60 o 90 días).
  • Acceso al grupo de Slack del curso. Aunque tal vez no sea la mejor herramienta para tener un histórico de mensajes de otros alumnos (la versión gratuita te limita a un mes), se ve muy compensada por la gente que forma parte del mismo. Existen varios administradores oficiales (además de Rasta, que es omnipresente), así como otros usuarios, siempre disponibles para echar un cable en caso de necesidad con alguna tarea. 
Todo esto lo recibiremos casi de manera inmediata una vez nos registremos en la plataforma, por lo que será pagar y empezar.

Caminos para obtener la certificación


Muy bien. Ahora que tenemos claro más o menos qué es y qué nos ofrece RTO, ¿cómo obtenemos el certificado? Sencillo, existen dos maneras:
  • Curso + Examen: Esta opción es la más recomendable para mi gusto. El curso consiste en obtener control total sobre el dominio representado en el laboratorio. Además, tendremos que ir recolectando ciertas flags para probar que hemos realizado las diferentes tareas propuestas a lo largo del curso. Una vez terminado, si aprobamos el examen, tendremos nuestro bonito certificado. ¡Ojo! No obtener todas las flags del curso impide que se desbloquee el acceso a la certificación (se puede hacer el examen, pero sin opción de obtener el certificado).
  • OSCP + Examen: Como podéis ver aquí, tener el OSCP te da la opción de realizar el examen de manera directa, sin necesidad de realizar el curso pero... ¿por qué haría alguien eso?

Estructura y duración del laboratorio


El contenido del curso es bastante extenso (ver índice) y el tamaño del laboratorio no se queda atrás. Hay que tener en cuenta que representa una pequeña empresa real, con sus usuarios haciendo su trabajo diario, sus procesos automáticos, sus servidores y como no... secretos que tendremos que investigar y descubrir. Nuestro objetivo será obtener el control sobre esta empresa mediante la impersonalización del usuario Administrador de Dominio. Aunque existe la opción de 15 días de acceso al laboratorio, mi recomendación personal (para no quedarte calvo y disfrutarlo al máximo) es la opción de los 60 días. Aunque si tienes conocimientos de C&C y Directorio Activo, con 30 días debería ser más que suficiente para completarlo.

El examen


El examen... es perfecto. A diferencia de otros, este examen sabe perfectamente qué exigir al alumno para demostrar que te debe ser otorgada la certificación. Si no apruebas, es más que probable que necesites darle un repasito al curso para revisar en detalle los puntos en los que te has quedado atascado.


En cuanto al formato, al igual que otras certificaciones, nos presentarán un mini-laboratorio con varias flags que obtendremos tras alcanzar ciertos hitos. Tendremos 48 horas para ello, sin necesidad de realizar informe (por lo menos, por ahora) y sin vigilancia (por ahora).

La nota la obtenemos de manera inmediata y es bastante clara: 75% de flags pedidas para aprobar.

Precio


En cuanto al precio, la modalidad de 30 días de laboratorio (por poner un ejemplo) son 400 libras y, dado el contenido del mismo y visto el mercado, es hasta insultante que sea tan barato. Por eso también se explica que no haya hueco nunca y vuelen los sitios al momento.
Siguientes pasos


Si el curso te sabe a poco o si lo has disfrutado como un enano y quieres más, te recomiendo que le eches un vistazo a Rastalabs, Offshore o Cybernetics en HTB. Es más que probable que todo este conocimiento adquirido te permita resolver estos PRO Labs sin no "mucha" dificultad y seguir poniendo en práctica tus recien adquiridas habilidades. 

Conclusiones


En resumen, RTO es una certificación bastante completa y muy bien planteada por parte de Rastamouse. Concentra en varios cientos de páginas toda la información relacionada con ataques contra Directorio Activo, manejo y despliegue de un C&C (Covenant & CS) y técnicas de Red Teaming genéricas, algo que, desde mi punto de vista, no existía con este formato a día de hoy en Internet. Sin duda, una grata sorpresa muy recomendable.

¡Ah! y para los que sigan pensando que solo con el OSCP se puede evitar el curso y aprobar el examen sin problemas... os dejo este maravilloso meme:

Fuente: https://jumpespjump.blogspot.com/2020/01/the-rastalabs-experience.html
Happy Red Teaming!
      editar

0 comentarios:

Publicar un comentario

< >