ペネトレーションテスト一般の知識・技術としてOffsec社のOSCPを勉強してきたものの、ADやAV/EDR回避といったことに弱点を感じたので、CRTO試験を受けてきました。
自称えせコバルトストライカーになれたかなと。。。
RTOについて
コース内容
Zeropoint Security社が提供する「Red Team Ops」はオンラインの自己学習コースで、レッドチームに必要な基本的知識とツール、Windows DefenderやAMSI、Applockerの回避についても含まれており、bad OPSEC(検出に繋がるアクション)が何たるかを教えてくれます。
カリキュラムが掲載されていて、攻撃のライフサイクルでまとまっているので比較的理解しやすいです。このコースの最大の特徴は、よく知られる「Cobalt Strike」でPost-Exploitを行う点かと。
training.zeropointsecurity.co.uk
環境面について
テキスト
WebベースのテキストでPDFの出力などはありませんが、現時点では一度購入してしまえば閲覧期限はありませんので、これを参考書として実務に生かしているといったコメントも見受けられました。ずっと使えるのはかなりのアドバンテージかなと思います。
費用について
1ポンド=180円くらいだったので、合計で8万円くらいだったかと思います。
コース(RTO-1):£365
ラボ180日:£83
毎年の流れでいけばBlack Fridayやイギリスの祝日あたりにちょいちょい安くなっているみたいなのでそのタイミングを狙うのが良いかと。
受けようと思ったきっかけ
ホント、事務仕事ばっかりしているとスキルが退化するので不安でしょうがないんですよ。あと執筆時点でOffsecはセールやってますが、年間で300kですもんね。SANSに比べればマシですが。
受講から試験まで
スケジュール感
ざっと1.5か月程度で受験までこぎつけました。日常生活においてほかの事もやりながら、英語学習の一環だと思ってテキストを手作業で翻訳していたので相当時間がかかりました。
40~60時間くらいが適切といったブログもありましたが、のんびりと120時間くらい使ったので、翻訳ツールを活用すればもう少し時間は短縮できたと思います。
- 資料の読み込み1回目+ラボ:約1か月
- Defender有効化+ラボ2回目(約0.5か月)
- C2プロファイルの再確認(2日程度)
なお、ラボの利用時間推移は以下のような感じでした。別のことをやりながら、復習を兼ねてあれこれやっていたので50時間程度は無駄に溶かしていた感もあります。
最初の20日:50時間
30日まで:76時間
40日まで:113時間
試験直前:175時間
詰まった時のコミュニティ頼み
Offsec同様、Discordとstudent dashboardがあります。迷ったらよく参照していました。
試験環境等
試験の中身については省略しますが、ざっと以下のとおりです。
- 模擬環境において与えられたフラグを取得するCTF形式
- 4日間または48時間(途中でラボをシャットダウンすることが可能)
- 6/8個のフラグを取得すれば合格(75%)
- Proctorによる試験監督なし
Offsecのような緊張感はなく、定刻から始められ、全体としてゆったり臨めます。
OSWP受験の時は「この黒い箱は何だ、片付けろ、これは何だ?」みたいなやり取りで試験時間が3時間ちょいのうちの30分が溶けました・・・
受験後の感想
だいたい20時間程度で全てのフラグに到達しました。
最初と途中でドハマリしたのですが、振り返って分析したところ、極度の緊張から来る凡ミスでした。与えられた環境やテキストをしっかりと理解しておけば問題はないかと思います。テキスト内に示されているチャレンジ課題はしっかりやった方が自信につながります。
この手の資格試験で毎回思いますが、このドハマリ期間は精神がすり減らされます。「もう一回おかわり受験か」と非常に憂鬱でした。
試験時間が残り10時間以上あったのですが、合格基準を満たしていたのでCanvas Badgesからメールが届いてました。
OSCPと比較してどうなのよ問題
そもそもレッドチームとペネトレーションテストを同等に比較することは困難なので、公開されたシラバスを踏まえてざっくりとした主観です。
- OSCPは広く浅く、C2をほぼ使わない
- CRTOはPost-Exploit重視、C2サーバ利用がメイン
C2サーバを駆使して様々な操作を行うという点では、基本的事項を理解していないとC2のツールが変わる度に苦労しそうな点があり、そういう点ではOSCPでC2を使わない基本的事項を理解しておくことが大事と感じ、OSCP→CRTOのラーニングパスはそれなりによかったなと思いました。
また、名だたる攻撃者グループがCobalt Strikeを多数利用していることも納得で、本当に便利なPost-Exploitツールであると認識しました(execute-assemblyは超便利)。
ただ、OSEPとのシラバス比較でも、例えばIDS/IPSの回避といった点がCRTOにはなく、どれが最良であるというのは結論しづらいところでした。
雑感
感じたことを以下に記載しておきます。
動画に字幕がない
英語が苦手な方は少々大変かもしれません。google chromeのユーザ補助を使って翻訳(英語に文字起こし)はできるので、活用をお勧めします。
大事なところにフォーカスしているので、説明があっさり
Offsecのような親切な動画説明はないのでご注意を。わからない部分は自分で調べることも多少必要になるかもしれません。
全ての項目に動画があるわけではない
気になるところはラボを活用して自分で理解する、またはフォーラムを活用することになります。
どのコンテキストで実行するアクションかを把握する
例でKerberosでチケットを要求する際、どのコンテキストで実行すべきなのかがよくわからなくなるので、試験前に整理しておくと頭がスッキリします。
Guacamoleはキーボードのタイプミスが多数発生
メンブレンとメカニカルキーボードを使い分けた環境では、メカニカルキーボードのみ「mimikatz lsadump::dcsyncccccccccccc」といったタイプ連打が起きました。手元の環境の問題かもしれませんが参考まで。
割とストレスがたまったので、ブラウザ上の仮想マシンに直接入力するのではなく、ホスト上のメモ帳などを使ってからコピペしてました。
Defenderを有効にする場合としない場合で戦略の組み方が全く違う
これはこのトレーニングの最大の利点かと思いますが、一通りの技術を理解させてからWild Lifeでは本当に通用するのかよといった感じです。現実の世界を見据えたカリキュラムの組み方は非常によかったなと思いました。
このため、Defenderを有効にしてからラボをもう一度こなすことをお勧めします。
最後に
コンテンツとしては更新頻度も早く、とても素晴らしいものでした。ラボ環境のアップデートスピードも速いように思います。
私の弱点のAD知識を大幅に補強してくれました。次はRTO-2に行くか、OSEPに行くかはちょっと考えたいと思います。OSEDも受けたいけどOffsecへのお布施が足りない。