⚔️ Red Team Operator

TL; DR;

Dans ce premier article, je vais raconter mon expérience sur la certification de la Red Team Operator 1 délivrée par ZeroPointSecurity de RastaMouse.

Etant donné que j’ai acheté le bundle complet, cet article comprendra mon retour sur :

• Le cours
• Le lab d’entraînement
• L’examen

Autour de la certification

Bon à savoir

Avant de commencer les hostilités, quelques informations.

Le coût de la certification, du lab d’entraînement et de l’examen est de 467.28 euros ainsi que 5 euros de conversion par la banque d’Euro vers GBP. Il est également possible de payer via paypal.

Le “plus” de cette certification est qu’il est possible d’acheter uniquement le cours ou uniquement l’examen. Ce qui permet de faire quelques économies contrairement à l’Offensive Security 🤡.

Un discord et ainsi qu’un forum sont accessibles pour poser des questions. Dont un channel privé sur discord pour tous les étudiants uniquement. On y trouve là bas bien souvent réponse à nos questions en faisant une simple recherche dans l’historique.

Une fois le cours acheté, il est accessible à vie avec les mises à jour. Il est possible de prévisualiser une petite partie du cours afin de se familiriaser avec la plateforme, avoir un ordre d’idée de la densité du cours, etc.

Payer moins cher ? 🐀

En suportant RastaMouse sur Patreon (29.5 euros / mois), on a 10% de réduction sur tout ZeroPointSecurity. Ce qui fait une réduction de 47.23 euros sur la RTO. On économise alors 17.73 euros sur la certification (🐀). Ce qui est négligeable. Il est surtout rentable de prendre cet abonnement surtout si vous souhaitez passer plusieurs certifications.

Le statut de Black Hat Patron donne accès à des ressources supplémentaire de Rasta Mouse, comme du code, des vidéos et un T-Shirt ZeroPoint Security.

Cours

Contenu du cours

Les sujets du cours sont affichés publiquement sur le site dans la rubrique Course Curriculum. Etant donné que l’on parle de Red Teaming, son contenu est principale basé sur de l’attaque d’environnement Windows et l’utilisation de la version officielle de Cobalt Strike.

Il faut savoir que le cours évolue régulièrement. En septembre 2022, le cours et le lab ont subi une mise à jour majeure suite au passage de Cobalt Strike en version 4.7.

L’ancien cours contenait 29 vidéos pour un total de 3h08 de contenu. Là où la nouvelle version contient 13 vidéos pour 1h14 de contenu. Cela s’explique du fait que RastaMouse doit refaire toutes les vidéos à cause de la mise à jour du lab. Le reste devrait donc arriver prochainement 😉.

A noter que l’intégralité du cours, du forum ainsi que les échanges sur le discord sont en anglais.

La plateforme du cours est assez agréable et permet le suivi de l’avancement de cours afin de connaître notre progression au fil du temps.

Points négatifs

Commençons par les points qui fâchent, mais je vous rassure les bons côtés arriveront juste après.

J’ai trouvé que certains termes sont utilisés sans avoir été expliqués (TeamServer, Beacon et bien d’autres).

Certaines parties du cours n’étaient, à mon sens, pas très claires ou manquaient d’explications pour tout comprendre :

• COM Hijacking
• One-Way Inbound & Outband
• RBCD (Resource Based Constrained Delegation)
• On nous dit simplement d’utiliser telles commandes sans explications de comment, ni pourquoi.

On ne sait pas forcément comment interpréter le résultats de certaines commandes, de l’énumération, etc.

On a donc du mal à comprendre comment tout chaîner ensemble dans un scenario réaliste. Mais c’est là que rentre le lab d’entraînement en jeu.

Points positifs

Malgré les quelques critiques faites au dessus, l’ensemble du cours est cependant très qualitatif. L’expérience de l’auteur mis à disposition est une réelle mine d’or.

Des vidéos réexpliquant les différentes thématiques abordées avec des petits tips en plus sont à disposition. Il est possible de régler la qualité et la rapidité de celles-ci. L’auteur est bien compréhensible et prend son temps pour montrer et parler.

Il y a souvent des conseils donnés en fonction de l’expérience de l’auteur. Par exemple :

• Quels sont les problèmes courants rencontrés lors d’une situation donnée et comment les contourner
• Comment ne pas déterriorer l’infrastructure du client
• Des conseils sur comment rester discret

Le cours n’est pas uniquement sur de la technique offensive, il y a des chapitres sur les choses à côté :

• Introduction de la red team (différents documents, organisation, coûts, aspect légal, etc.)
• Reconnaissance externe
• Post-mission
• Rendus clients
• Côté défenseur comment créer des règles de détection

J’ai souvent tendance à enlever des informations que je trouve trop supperflue lors de ma prise de note. Afin de garder uniquement l’essentiel des cours. Or ici, je n’ai quasiment jamais eu à le faire tellement l’information est bien digérée par l’auteur. C’est peut-être d’ailleurs ce point qui me fait dire que l’on a pas assez d’explications sur le pourquoi du comment.

Il m’a fallut 20 jours pour lire tout le cours. J’ai pris mon temps afin de bien tout comprendre ce qui était expliqué. En sachant qu’il y a eu des jours où je n’y ai pas touché.

Le lab d’entrainement

La plateforme

Le pack complet, donne l’accès au lab pour une durée de 40h. Le temps s’écoule uniquement quand le lab est lancé. Vous pouvez donc l’éteindre à votre guise. Mais vous devrez remonter tous vos pivots. Ce qui peut prendre du temps si vous n’avez pas mis en place de mécanismes de persistance. Toutefois, il est possible d'acheter du temps additionnel.

Le lab est hébergé sur Snaplab avec Guaccamole. De fait, on ne peut pas avoir d’accès VPN sur le lab. Pour exploiter les machines du lab, on doit passer par celles mises à disposition.

Le lab est constitué de 17 machines, déconnectées d’Internet. On a alors un accès en WebRDP sur toutes les machines.

Les vidéos du cours sont réalisées sur le lab. Ce qui facilite le rejeu de ce qu’on voit en cours.

Puisque le lab est en total WebRDP, il est fortement conseillé d’avoir une bonne connexion et qui soit stable.

Pour les outils mis à disposition, ils sont déjà tous présents sur les deux machines attaquants mis à disposition :

• Attacker Linux (hébergeant le Cobalt Strike 4.7, metasploit, etc.)
• Attacker Windows (Outils compilés, WSL, Putty, VSCode, Visual Basic, etc.)

Vous n’aurez pas la possibilité de téléverser vos propres outils. Mais vous n’en aurez pas besoin. L’examen et le lab ont déjà tout ce qu’il faut pour suivre le cours. Pour les amateurs d’impacket et crackmapexec, vous devrez vous adapter, ils ne sont pas présents 🤭.

Speed run du lab

Après 3 mois sans avoir touché la certification. J’ai enfin décidé de faire le lab et d’enchaîner sur l’examen.

Ma stratégie adoptée : le speed run.

En moyenne j’ai travaillé sur le lab de 18h à 02h chaque jours pendant 5 jours. J’ai dû réellement passer 25h sur le lab en sachant que j’avais déjà lu le cours quelques mois avant.

Des retours d’expériences que j’ai pu lire, 20h sur le lab est une bonne moyenne pour tout voir. Les 40h de crédit sur le lab sont donc amplement suffisants.

L’examen

A quelle sauce on va être mangé ?

Avec le pack complet, un voucher est fournis pour passer l’examen gratuitement. Pour ce faire, au moment de réserver votre examen, il faudra rentrer votre adresse mail comme coupon.

Un autre point fort de cette certification est le temps d’examen. L’examen est réservé pour un créneau de 4 jours. Un crédit de 48h est donné sur le lab d’examen. On a donc largement le temps de dormir sur nos deux oreilles.

L’examen est réservable à tout moment. Une fois fait, vous aurez alors à votre disposition l’environnement du lab. Celui-ci sera démarrable uniquement dans la fourchette choisie.

Chaque machine contient un fichier flag.txt sur le bureau de l’administrateur. Il y a un total de 8 flags sur le lab et il en faut 6 pour valider la certification.

Les nombre d’outils présent sur l’environnement d’examen est bien moindre que celui du lab d’entraînement. Mais tout ce qu’il vous faut est là. Encore une fois, pas de VPN, ni de possibilité d’en téléverser.

Préparation

Le threat profile à appliquer pour le jour de l’examen est fournis le jour de la réservation de l’examen. Vous avez donc le temps de vous préparer en amont. Il faudra alors prendre soin de bien configurer Cobalt Strike en conséquence (Malleable Profile, Resource kit, Artifact kit).

Il est important de noter que la bonne préparation à l’examen est essentielle. Vous devez avoir préparé en avance vos différentes méthodes de contournement de Windows Defender et d’AMSI.

Au moment où j’écris cet article, l’examen n’est toujours pas mis à jour par rapport au cours qui, lui, l’est. Ce qui fait que l’environnement varie quelques peu.

Les méthodes de contournement de l’anti-virus vues dans le cours, ne sont pas toutes applicables dans le lab d’examen dû à la version antérieur de Cobalt Strike.

Timeline de mon examen

• Jour 1
  • 11H30 : 🏁 Début
  • 14h30 : 🚩 Flag 1
  • 23h00 : 🚩 Flag 2
  • 00h30 : ♻️ Reboot
  • 01h20 : 🚩 Flag 3
  • 02h40 : 🚩 Flag 4 & 😴
• Jour 2
  • 13h00 : 🏁 Début
  • 15h00 : 🚩 Flag 5
  • 20h30 : 🚩 Flag 6

Après presque 21h d’examen, j’ai décidé de m’arrêter là.

J’ai rencontré de réelles difficultés à me lattéraliser entre les différents serveurs, ce qui m’a fait perdre beaucoup de temps. C’est sûrement dû au fait que je n’étais pas très à l’aise avec l’environnement de l’examen. Celui-ci est quelque peu différent du nouveau lab d’entrainement (WSL, build.sh, etc.).

Me voici donc en possession d’un nouveau badge :

Conclusion

Malgré les quelques soucis encontrés, c’était une chouette expérience. Le cours est enrichissant, tous les retours que j’ai pu lire en disent que du bien.

Je conseille tout de même aux personnes qui souhaiteraient s’y aventurer, d’attendre la nouvelle version de l’examen avant de le passer. Afin de pratiquer sur le même environnement qui sera mis à disposition et de ne pas avoir de surprises.