1. /
  2. /
  3. CRTL受験記(2025年7月)

CRTL受験記(2025年7月)

Zero-Point SecurityのCRTLに合格したのでその記録です。先日のCRTOの続きです。

注意:新プラットフォームへの移行のため、旧プラットフォーム上での新規のコース購入は停止されています。5月時点でRTO2は「今後数か月以内に公開予定」とされているため、新規の受講はしばらく待つ必要があります。また、本記事の内容も旧プラットフォームの古い内容となるためご注意ください。

 

筆者の背景・受験の理由

CRTOと同様ですが、脆弱性診断やペネトレーションテストを行う上では実際の脅威を模倣する必要があり、CobaltStrikeのようなC2フレームワークは攻撃者も使用するため、勉強を継続しています。DefenderだけでなくEDR回避を行う攻撃者も多数観測されているため、診断側も常に技術を磨く必要があります。

 

CRTLとは

Certified Red Team Lead(CRTL)はZero-Point Securityが提供する資格です。正式な名称はRed Team Leadですが、慣例としてCRTLと呼ばれています。他にもCRTO2と呼ばれたりもします。Security Certification RoadmapではCRTO II、CDIはCRTO2、MUFGはCRTLと、皆それぞれ好きなように呼んでいますね。本記事ではコースをRTO2、資格をCRTLと呼称します。

 

コース・ラボ

Course Curriculumに記載の通りC2インフラ作成、カスタムローダーの作成、ASR/WDAC/PPLの回避、Elastic EDR回避等を行います。RTO2はRTOの内容を前提として作成されているため、間を置かず連続して受講・受験することが望ましいです。やむを得ず間を置く場合はRTOの内容をしっかり復習する必要があります。試験ではRTO+RTO2の多くの内容が問われます。

ラボではRTOと同様、Immersive Labs上で提供するVMをGuacamoleによりブラウザから接続して使用します。Attacker Desktopでカスタムローダーの作成やTeamServer周りの設定を行い、ASR/WDAC/PPLが適用されたマシン等に攻撃を行います。最も特徴的なのはMicrosoft DefenderとElastic EDRが有効になっていることで、これらを回避する必要があります。Elasticについてはダッシュボードにアクセスすることができるため、アラート内容の確認や検知/ブロックの切り替えを行うことができます。ちなみに、最初は検知モードになっているのでPolicyを調整して試験環境に近付ける必要があります。試験では当然ブロックモードです。

 

勉強方法

コース教材を読み、ラボで準備を行いました。ラボで最低限準備するべき内容としては以下の通りです。

  • リダイレクタを使用したC2インフラの作成
    • コース教材に従えば問題ないです。
  • カスタムローダーの作成
    • これもコース教材に従えばそれほど時間はかかりません。
    • ただ、ラボ時間の節約と可搬性を考えると作成はローカルのVMで行った方が良いです。
  • カスタムローダー、beacon、攻撃ツールの検知回避
    • 静的検知に対してはThreatCheckとyara64.exeを使います。検知された場合はslnを開きシグネチャ該当部分を削除するか、C2 profile側でstrrepで置換しましょう。
    • 振る舞い検知はコース教材で紹介された手順をラボで行い、何かアラートが出るか確認し、その都度対処すると良いです。
    • カスタムローダーの起動、shellcodeの読み込み・インジェクション、列挙・探索、権限昇格、資格情報窃取、横展開等、攻撃に必要な一連の動作は事前に検知されないか実験しておいた方が良いです。
  • ASR/WDAC/PPLの回避方法
    • コース教材に従えば大きな問題はありません
    • ただ、ぶっつけ本番だと戸惑う可能性が高いので、一度は手を動かすことをおすすめします。

 

試験

予約ページに記載の通り、8日間使用可能な96ラボ時間が与えられ、5/6 flag以上で合格となります。内容はRTOとRTO2からほぼ全てが出ます。コース教材を熟読しラボで練習しておけば合格しやすいと思います。つまり、コース教材から外れた内容はほぼ出ません。

試験のコツとしては長丁場であるため適切な休息を取ることです。私はモンエナを2本入れて昼夜逆転しながら2日で倒しましたが、もう少し健康的な受験の方が望ましいですね。また、96ラボ時間をすべて使い切ることはないと思うので、余裕をもって楽しむことをおすすめします。最後はRevertをかけて手順が合ってるのか確認して遊ぶと楽しいです。実際の顧客環境はRevertボタンがないので。

なお、試験の採点については英国時間の午前2時に採点されるとDiscordにあります。ただし、badgrのアカウントを作成していないとメールは飛ばないらしく、7月12日に試験も終わったのに結果が来ないので怪しみ、ようやくbadgrのアカウントを登録したところ、実は7月4日にすでに認定されていたということがありました。結果のメールが来ないときはbadgrに登録しましょう。

 

感想

Cobalt Strikeの習熟には最も良いコース・試験です。攻撃者はC2フレームワークを使用することも多いので、まずはCobalt StrikeでC2の概要を学んだ上でSliverあたりに手を広げるのも良いかもしれません。

EDR回避に関しても、EDRの動作原理から学ぶことができるため良い教材です。とはいえ、これだけですべてのEDRを回避できるわけでもないので、継続した研究は必要かなと思います。

 

今後の予定

新プラットフォームが公開されたら再受験です。