Retour d'expérience sur Certified Red Team Expert

Retour d’expérience sur la certification “Certified Red Team Expert” d’Altered Security.

Introduction

Cette certification fait suite au CRTP, pour lequel j’ai déjà donné un retour d’expérience :

/posts/certifications/crtp

Elle vise à approfondir les connaissances d’Active Directory, notamment dans un environnement comprenant plusieurs forêts, l’évasion des solutions de sécurité (Defender, MDE, MDI) par obfuscation de scripts binaires/powershell et un opsec assez avancé.

Démarrage

Lorsque vous achetez CRTE ($300), on vous demandera de saisir une adresse email. Il est préférable d’utiliser une adresse Gmail (pour l’apprenant) pour éviter d’avoir à contacter le support plus tard, car l’authentification sur la plateforme d’apprentissage se fait exclusivement via un compte Google.

Vous aurez ensuite accès aux diverses ressources de certification dans la section “Access Lab Material”, qui vous redirigera vers un lien onedrive où vous trouverez des diagrammes, des vidéos explicatives (CourseVideos correspondent aux vidéos du bootcamp et WalktroughVideos aux chemins de compromission du lab), un “LabManual_Covenant” qui couvre l’application du cours, mais en utilisant un C2 (pas à jour doit être mis à jour avec sliver) et une archive contenant tous les outils nécessaires pour apprendre la certification (Tools.zip).

Je recommande de lire la section “Frequently Asked Questions”.

Dans le cours, il y a 30 “Learning Objectives”, chacun indiquant un objectif à atteindre (une ou plusieurs informations à remplir) en énumérant/exploitant l’environnement du lab sur un sujet particulier ou pour pivoter vers une autre machine. Cela couvre tout, de la reconnaissance/énumération/exploitation de Kerberos aux attaques sur certificats, l’abus de relations de confiance entre forêts et l’exploitation de serveurs SQL, tout en tenant compte de la gestion importante du bruit et de l’opsec afin de contourner Defender et Microsoft defender for Endpoints/Identity (MDE/MDI). Attention à la détection comportementale MDI ! Il peut être judicieux de ne demander qu’un ticket à la fois, de ne pas effectuer d’actions de masse, de ne pas dumper le processus lsass, de définir des délais aléatoires entre les actions… Ces éléments sont activement surveillés par MDI !

📍 L’environnement d’apprentissage et l’environnement de certification sont similaires, notamment en termes de mesures de sécurité : Tous les serveurs fonctionnent sous Windows Server 2019 (Pas encore mis à jour vers 2022 à ce jour, il n’y a pas de différences pratiques entre les 2 versions de Windows Server) avec les mises à jour de sécurité appliquées à ce jour, le pare-feu Windows et Defender sont actifs, certains serveurs sont en version “core”, plus des mécanismes de sécurité comme WDAC/gMSA/LAPS. Un grand pas en avant en termes de sécurité par rapport à l’environnement CRTP. La présence de mauvaises configurations/ACL permet de compromettre les machines.

les retours d’expérience, les anecdotes, les explications détaillées des concepts ; tout cela peut être entendu dans les vidéos du bootcamp animées par Nikhil Mittal (Fondateur d’Altered Security) et Munaf Sahriff maintenant.

Examen

Je dois rester quelque peu vague pour éviter de dévoiler la configuration de l’examen. Pendant l’examen, la mission du candidat est d’exécuter avec succès des commandes sur les machines dans le périmètre du lab (au moins 4 pour passer l’examen, en excluant la VM fournie). Il n’est pas requis d’obtenir des droits d’administrateur local sur ces machines, car aucun flag ne doit être collecté. Le candidat aura 48 heures, incluant une heure supplémentaire pour installer les outils nécessaires, pour compromettre presque tout le lab et prendre des captures d’écran qui démontrent la méthode utilisée, améliorant ainsi le rapport final, qui devrait être aussi impeccable que possible.

Microsoft Defender est actif sur toutes les machines. Defender peut être désactivé si vous avez des privilèges d’administrateur local, mais selon le cours, vous devez contourner Defender au moins une fois.

Pendant l’examen, des techniques telles que le brute force, le guessing, le contournement de MDE, l’abus de certificats ou l’exploitation de vulnérabilités connues (CVE) ne sont pas utiles.

Après avoir démarré l’examen, la liste des machines est apparue sur l’interface en environ dix minutes. Il est maintenant nécessaire de générer les identifiants pour se connecter à la première machine, car les certifications Altered Security sont basées sur un scénario “Assumed Breach”. Rappelez-vous que Windows Defender est actif, vous devrez donc effectuer une escalade de privilèges et/ou une énumération en tenant compte de cet élément. J’ai pu escalader mes privilèges, désactiver les protections sur la machine pour plus de facilité, dumper lsass et énumérer le domaine actuel.

Les premier et deuxième mouvements nécessitent du temps, de la logique, une énumération spécifique, et de la recherche/documentation. J’ai pu les compléter après quelques heures, tout en rédigeant le rapport avec des captures d’écran.

Le troisième mouvement est facilement identifiable après avoir énuméré la forêt dans laquelle nous sommes maintenant. J’ai pu l’exploiter rapidement et le compromettre.

les quatre machines étaient accessibles, et pour la dernière, le vecteur d’attaque était une formalité.

Il y a en effet cinq machines dans le lab, mais la difficulté et le temps requis par mouvement peuvent être significatifs. Les mouvements initiaux ne sont pas nécessairement simples et peuvent inclure de nombreuses étapes, causant parfois de la frustration, surtout si on est bloqué sur la première machine à compromettre. Il est important de ne pas oublier de lire la documentation des outils, de consulter les cheatsheets habituels (hacktricks, thehacker.recipes), et surtout, de tester.

Rapport

Le rapport doit être entièrement rédigé en anglais. Il devrait suggérer des mesures correctives pour les mauvaises configurations identifiées et inclure des références à des articles de blog pour améliorer la crédibilité du document. Il est également essentiel d’expliquer le fonctionnement des outils utilisés et les raisons de leur sélection. Mon rapport individuel a été créé en utilisant sysreptor et le modèle Altered-Security-Reporting, que j’ai développé avec l’aide de deux contributeurs basé sur le modèle calzone.

L’objectif du projet est de gagner du temps sur la mise en forme, d’automatiser des éléments tels que la structure du résumé exécutif et de la table des matières, et surtout, de se concentrer uniquement sur la complétion des parties fonctionnelles du document, telles que le périmètre et les vecteurs d’attaque.

Conclusion

Le CRTE nécessite une base solide en tests d’intrusion Active Directory. Si vous avez déjà passé le CRTP, ou êtes junior/professionnel en poste de pentest avec des missions similaires, vous êtes les bienvenus pour vous lancer.

Il est tout à fait possible de passer le CRTE en deux semaines, la structure est globalement la même que le CRTP, mais plus complexe avec un environnement également plus grand. Toutes les ressources sont accessibles à vie, incluant les futures mises à jour. Veuillez noter cependant que passer la certification est moins complexe que le lab de formation (en raison de ses 48 heures d’activité). Vous serez ensuite invité à soumettre un rapport de compromission en anglais, détaillant toutes les observations, mauvaises configurations, outils utilisés, sources de POC et recommandations de remédiation pour chaque élément dans l’environnement (les recommandations rapportent plus de points, mais ne sont pas obligatoires). Ce rapport est rédigé et envoyé dans les 48 heures maximum après la fin de l’activité du lab d’examen. Vous pouvez également préciser que l’anglais n’est pas votre langue maternelle, si cela constitue un obstacle à votre expression. L’équipe Altered Security en tiendra compte lors de la révision de votre rapport.