Zero-Point SecurityのCRTOに合格したのでその記録です。
追記:新プラットフォームのコースとラボ・試験の感想を末尾に追記しました。
筆者の背景・受験の理由
普段はセキュリティエンジニアとして働いており、主な業務として脆弱性診断やペネトレーションに従事しています。仕事上でC2フレームワークを取り扱うことも多く、有名なCobalt Strikeの体系的な知識を得るためにコースを受講することにしました。
CRTOとは
Certified Red Team Operator(CRTO)はZero-Point Securityが提供する資格です。正式な資格名称はRed Team Operatorですが、慣例としてCRTOと呼ばれています。よって本記事でもコースをRTO、資格をCRTOとして呼称します。RTOではオンラインコースとラボを使用して学習を進めていくことになります。
なお、つい先日新サイトが公開されました。New Site Launchのブログ記事で説明されている通り、コース・ラボのプラットフォームも刷新され試験形式も変更となりました。よって、ここで説明する内容はすでに古いものになっています。悲しい。新プラットフォームのコースを受講し、新試験にも合格しました。末尾に感想を記載しています。
コース・ラボ
コースではCourse Curriculumに記載の内容が説明されます。初期侵害から権限昇格、永続化や横展開まで一通りの侵害方法を学習することができます。基本的には文章ですが一部は動画で説明されており、UI上でどのような操作を行うのか分かりやすくなっています。また、コマンドの例も充実しているためラボで試す際も再現しやすくなっています。
ラボではCobalt Strikeを使用し、コースで説明された内容を実際に手を動かして試すことができます。OSCPのようなチャレンジラボではないため試行錯誤して攻撃パスを構築する必要はなく、手順をなぞって確認する形となります。
不明点があればDiscordかコミュニティサイトで質問することができます。なにか疑問点がある場合、その2つで検索するとヒントが見つかることが多いため、詰まったら検索すると効率的に学習を進めることができます。
勉強方法
まずはコースを一通り読みました。スマホでも読みやすくGoogle翻訳も使えるので移動中や休憩時間に読み進めていました。次に動画を一通り眺め、知らない操作が登場しないか確認を行いました。
その後ようやくラボに着手し、まずはDefenderが無効な状態で基本的なCobalt Strikeの操作に慣れました。初期マシン(wkstn-1,2)でリスナーの設定やペイロードの生成、beaconの操作方法をある程度理解することに努めましたが、その先の各種攻撃手法はOSCPやCRTPで既知の内容だったのでスキップしました。
ある程度Cobalt Strikeの操作に慣れたところでDefenderを有効にして、各種操作やツールが使用可能か確認しました。C2プロファイルやペイロードのカスタム等、ここには結構な時間をかけました。その後全体的にラボを流して問題ないことを確認し、試験に臨むことにしました。
スケジュール
2024年11月30日にBlack FridayでRed Team Courses(RTO1,2のセット)を購入しました。その後ゆったりとコースのテキスト・動画を眺め、2025年5月7日に30日(ラボ40時間)を購入し、ラボで学習を進めました。ちなみに貧乏性が災いしラボは11.2/40時間しか使いませんでした。しっかり準備してラボの起動を短くすればもう少し節約できるかと思います。
費用としてはRed Team Courses(615.4GBP)とLab Extension 30 days(44GBP)の計659.4GBPです。現在のレートでおよそ127,216円なので高いなぁと思いますが、RTO2のコースも含まれていると思えば、うん…。
5月21日4:30に謎の自信が満ち溢れ、進捗の遅れへの焦りも加わり、当日6:30からの試験を申し込みました。当日2時間後からの申込が可能なようです。その後粛々と試験を進め、flagを6/8取得してしばらくしたところで合格通知が届きました。
試験
試験は4日間のうち48時間環境を動かすことができ、合格点は6/8flagです。OffSecと違い監視もなく好きな時間で自由に解くことができるため、平日仕事がある社会人にも優しいですね。
試験の難易度としては「素直」だと感じました。急にDefenderが邪魔したり、コースで触れられていない攻撃手法が急に必要になったりはしないと思います。
試験のコツとしてはDefenderを有効にしたラボ(チャレンジ含む)でしっかりと学習を進めることだと感じました。また、試験本番ではflagが生成されないことがあります。そのため、各種資格情報(要はkrbtgtのNTLMハッシュ)を手元に残しておいていつでも環境の全体のRevertをできるように準備することが大事です。
試験時間の48ラボ時間のうち、最初の15ラボ時間ほどで6/8 flagを取得し、その後ゆったり10ラボ時間ほどで8/8 flagを取得しました。その後ラボ時間が余るのももったいないと思い、環境をリセットして一から解き直して遊びました。
感想
高価なCobalt Strikeを安全な環境で好きなだけ使えるという点で他にないコース・試験です。AD環境に対する攻撃手法も詳しく説明されており、コース・ラボともによくメンテナンスされているため、最初に選ぶコースとしても良い教材だと思います。
CRTOを所持することでペンテストに必要な専門性を満たすとみなすことができると経済産業省も言っているのでその点でもお勧めできるかと思います。
追記:新プラットフォームを受講・受験しての感想
1週間と間を置かずに新プラットフォームで試験を受験し合格しました。旧プラットフォームとコースの内容・ラボ・試験はおおよそ同じ内容ですが、一部変更点もあったのでその内容について触れておきます。詳しくは公式のブログ記事とDiscordの議論を参照してください。
コーステキスト
カリキュラム自体は新と旧で見比べていただければと思います。本質的な内容自体は大きく変わりませんが、色使いや注釈などはより分かりやすくなったと感じました。
法律とコンプライアンスに関する章が追加されていたのは嬉しかったです。内容は英国の法律に関するものですが概要は知っておくべきですし、良い取り組みだと思います。国内における法律は『国民のためのサイバーセキュリティサイト』、倫理については情報処理安全確保支援士の倫理綱領とISC2の倫理規約を熟読することをおすすめします。セキュリティエンジニアの倫理観については定期的に炎上問題になりますし…。
レポーティングに関する章も追加されました。顧客環境を叩いて終わりではなく顧客に分かりやすく説明することが大事なので、どのような項目を含めるかも意識しておいた方が良いです。報告書のテンプレートも追加されていたため、イメージしやすいと思います。とはいえ、レポーティング能力を向上させたいのであればレポートで試験の採点を行うOSCPやCRTPの方が適しているのでそちらをおすすめします。
ADCSとSCCMは「単一コースとしては多すぎる」とのことで新カリキュラムからは削除されましたが、その他BOFHound等の追加もあり、総じて良くなったと感じました。
コース動画
新プラットフォームになり動画はなくなりましたが、Discord上の発言によるとそのうち録画するらしいです。
ラボ
新プラットフォームになり、1つの大きなラボから章ごとのラボになりました。コース概要のラボマークがついているところです。
以前はGuacamoleでしたが、新プラットフォームではSkillableになりました。Guacamoleと同様ブラウザベースの仮想環境で、遅延も気にならなかったので使いやすいです。強いて言えば、日本語キーボードが認識されないのと、30分+15分延長で油断してるとシャットダウンされるのが少し気になりました。
試験
試験の試行回数が無制限になったこともあり、難易度は明確に上がりました。旧環境ではflagさえ取れば破壊しながら突き進むことも可能でしたが、opsecの重要度が上がり静かに進むことが求められるようになりました。マシンの攻略難易度自体は旧環境と同じか、少し簡単になったかなぁくらいです。とはいえ7日間のうち48ラボ時間で解けばよく、何度でも挑戦できるので気は楽になったかと思います(現実の仕事はやり直しできませんが)。
ちなみに、Defenderも更新され旧環境では通じたbeaconのカスタムが通じなくなっていました。安定した対策は大変ですが頑張りましょう。
コース価格の変更
購買力平価(PPP)によって国毎に料金が変わるそうです。
ラボの価格
以前は時間単位で購入する必要がありましたが、新プラットフォームになり費用がかからなくなりました。自由にいくらでも使用できるのでとても良いコースになりました。ただ、今までも何度か価格改定しているのでこれから値上がりするんじゃないかなぁ、とは心配です。
デジタル証明書
BadgrからAccredibleへ移行されデザインも変更されました。
今後の予定
新CRTOを覗きつつ、CRTO2に進みます。旧プラットフォームのCRTO2に進むか、新プラットフォームの移行を待つか迷いどころ。