CRTO II / CRTL Review

Dicen que el más rico no es aquel que más tiene, sino el que más comparte. La cosa es que rico no soy, pero me gusta compartir. Es por ello que hoy vengo a hacer una review corta (pero honesta) del CRTO ll, también conocido como Red Team Leader (CRTL).

La certificación se enfoca en ser la continuación del famoso CRTO pero con la evasión en mente. Es decir, vas a hacer lo que hacías en el CRTO pero evadiendo el EDR de Elastic a la vez que el Windows Defender.

Para ello, el curso te dota con los siguientes conocimientos:

  • C2 Infrastructure
  • Windows APIs
  • Process Injection
  • Defence Evasion
  • Attack Surface Reduction (ASR)
  • Windows Defender Application Control (WDAC)
  • Protected Processes
  • EDR Evasion

A medida que vayas avanzando en el curso, aprenderás nuevas técnicas de evasión que, sobre todo, se le pueden aplicar al cobalt strike en su perfil, como por ejemplo el sleep mask, el thread stack spoofing, PPID spoofing, etc.

Sinceramente, el curso te da una muy buena base sobre técnicas de evasión más avanzadas sobre las cuales tu tienes que seguir construyendo el conocimiento por tu cuenta. No te esperes bypassear el EDR de Kaspersky así de una después de haberte hecho este curso.

¿Es necesario tener el CRTO antes de hacer el CRTL?

En pocas palabras Sí, a no ser de que ya tengas vastos conocimientos de explotación de AD. Como he dicho antes, el CRTL es la continuación del CRTO, por lo que los ataques son muy parecidos pero aumentando más soluciones defensivas de por medio (EDR).

Además, el CRTO te va a permitir entender las bases del Cobalt Strike, algo que es fundamental para poder afrontar el CRTL.

Laboratorios VS Examen

Los laboratorios son una fiel copia del examen. Esto no es OffSec para pedirte cosas que no hayas visto durante el curso. Si has conseguido hacerlo bien en los laboratorios, entonces estate tranquilo. Además, el examen dura 96h, por lo que tienes 12h al día durante 8 días para conseguir las 5/6 flags necesarias para aprobar.

Recursos adicionales

Para asegurarte de que tus payloads son completamente indetectables por el EDR/AV, te recomiendo que le eches un vistazo a los siguientes recursos:

Conclusión

A modo de resumen y en mi opinión personal, puedo decir que es de las mejores certificaciones que he hecho. Además, su precio es muy asequible (500€ en total) comparado al conocimiento que obtienes. Si siempre has querido ser un haxor pero el AV te lo impide, la CRTL te será de mucha ayuda.

Despedida

Venga, hasta luego.

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Subir para arriba