Mi experiencia con la certificación CRTO
Recientemente obtuve la certificación CRTO (Certified Red Team Operator) sin haber adquirido el curso oficial que imparte Zero Point Security; únicamente compré el voucher del examen. Por eso, me gustaría compartir mi experiencia, ya que puede servirte si tienes un nivel de experiencia similar al mío.
Para dar un poco de contexto, tengo aproximadamente seis años de experiencia en ciberseguridad, principalmente realizando pentesting tanto en aplicaciones web como en infraestructura basada en Active Directory. Así que si vienes con un background parecido, tal vez este pequeño blog te pueda orientar.
¿En qué consiste la certificación CRTO?
Esta certificación se enfoca en aplicar conceptos de Red Team y técnicas de explotación en entornos de Active Directory mediante un Command and Control (C2). En este caso, se utiliza principalmente Cobalt Strike, una herramienta bastante conocida (y de pago).
Vale la pena mencionar que solo puedes acceder al laboratorio oficial si compras el curso completo. Así que si, como yo, decidiste no adquirirlo, tendrás que prepararte por tu cuenta.
¿Cómo pasé el CRTO sin comprar el curso ni el laboratorio?
Vamos paso a paso.
Laboratorios para práctica
Para reforzar conceptos y practicar técnicas, utilicé plataformas como:
- Hack The Box (HTB)
- TryHackMe
- VulnLab, entre otros.
Estas plataformas cuentan con máquinas específicas enfocadas a entornos de Active Directory, lo cual es clave para la certificación. Es esencial conocer bien estos conceptos y sentirse cómodo trabajando en estos entornos. Dedicarle tiempo a esto es sin duda una de las mejores inversiones que puedes hacer durante tu preparación.
¿Y Cobalt Strike?
Aquí viene uno de los problemas: cómo practicar con Cobalt Strike si no tienes licencia. Con algo de búsqueda en Google, podrías encontrar versiones no oficiales, pero por obvias razones no puedo recomendar ni profundizar en ese tema.
Dicho esto, existen varias alternativas de C2 open source muy buenas que simulan el comportamiento de Cobalt Strike, como:
- Sliver
- Mythic
- Havoc
Puedes consultar mas informacion en la C2 Matrix.Lo importante es aprender lo siguiente dentro de un C2:
- Uso de beacons
- Ejecución remota de comandos
- Carga de archivos
- Inyección de procesos
- Robo de tokens
- Técnicas como Pass-the-Hash o Pass-the-Ticket
- Manejo de listeners
Si ya tienes algo de experiencia con Metasploit, adaptarte a un C2 como estos no te será tan difícil. En mi caso, no tenia experiencia con ningun C2 fue un aprendizaje desde cero, pero creo que es el núcleo del examen.
Bypass a Windows Defender
Otro punto fundamental las máquinas del examen tienen Windows Defender activado. Por lo tanto, saber cómo evadirlo es clave. Aunque utilizan una versión algo desactualizada, por lo que técnicas “viejas” pueden seguir funcionando. Aun así, practicar diferentes métodos de evasión es esencial. Sin embargo, en el CRTO solo se utilizara el arsenal kit para realizar el Bypass no necesitaras nada extra.
Laboratorios Avanzados: Hack The Box Pro Labs
Una vez que me sentí cómodo con el uso del C2 y los bypasses de Defender, pasé a laboratorios más avanzados. En mi opinión, los Pro Labs de Hack The Box fueron de lo más útil para simular el entorno del examen. Aquí los que usé:
Dante
- Ideal para practicar pentesting general
- Algunas máquinas tienen Windows Defender activado
- Buen punto de partida para AD sin tanta complejidad
- Incluye pivoting
RastaLabs
- Muy similar al entorno del examen
- Casi idéntico al contenido del CRTO
- Defender activo en varias máquinas
- Enfoque total en Red Team y Active Directory
Offshore
- Otro entorno enfocado en Red Team
- Defender activado
- Incluye ataques variados a Active Directory
- Buen laboratorio para practicar pivoting y escalamiento lateral
También recomiendo los Mini Pro Labs, que aunque son más pequeños, permiten seguir practicando técnicas de Red Team y explotación de AD.
Día del examen
Se deben obtener 8 flags, pero con 6 flags ya apruebas. Tienes 4 días para hacerlo, pero solo 48 horas activas de laboratorio, que puedes distribuir como quieras. El tiempo es más que suficiente si llegas preparado.
Entorno del examen
Te proporcionan lo siguiente:
- Servidor Linux con Cobalt Strike
- Servidor Windows con herramientas de enumeración y cliente de Cobalt Strike
- Servidor Ubuntu accesible vía WSDL desde Windows
- Servidor DNS para resolución de dominios
- Servidor víctima (Windows)
- Te dan un usuario y password para acceder
- Aqui es donde empieza el examen
- Acceso mediante Guacamole Web
- Sin conexión a internet
Cada flag se obtiene al comprometer completamente un servidor (obteniendo privilegios de administrador).
No es necesario entregar un reporte, solo ingresar las flags en el panel de control. Todo lo necesario para pasar el examen está disponible en el entorno, salvo herramientas como SharpHound / BloodHound. Si deseas usarlas, tendrás que ingeniártelas para introducirlas, por ejemplo, codificándolas en base64 y copiando el contenido a la máquina remota.
¿Vale la pena comprar el curso?
Todo lo que aparece en el temario del curso es directamente aplicable al examen. Si prefieres una ruta guiada y con laboratorios listos para practicar, es una muy buena inversión. Si no tienes los recursos para adquirirlo no creo que sea fundamental para aprobar el examen.
Además, si te registras en el sitio de Zero Point Security, puedes acceder a algunos videos gratuitos del curso, y sinceramente, varios de ellos son bastante útiles.
Conclusión
Esa fue mi experiencia personal con la certificación CRTO. Es un reto interesante, muy bien estructurado, y altamente recomendable si quieres entrar en el mundo del Red Teaming.
Espero que este blog te sirva si estás considerando presentar el examen o prepararte por tu cuenta, como lo hice yo. ¡Mucho éxito!