He tenido la gran posibilidad de tomar este magnífico curso gracias a Dreamlab Technologies <3 y no me arrepiento de haberlo elegido.
¿Por qué? Porque es relativamente nuevo en la industria y aún no tiene certificación (quizás en algún momento la tenga), pero explica de manera muy práctica lo que es, cómo y qué hacer en un Red Team. Me tocó hacerlo en línea (Live Online) en horario de los ángeles PDT y yo estando en Chile, era más o menos cómodo ya que comenzaba al medio día, pero terminaba comenzando la noche (20h).
A considerar.
Esto es solo una opinión basada en mi experiencia con el curso, para que no se la tomen a personal y saquen sus propias conclusiones si es que algún día van a tomarlo (o certificación).
Día 1: Planificación de emulación de adversarios e inteligencia de amenazas (Planning Adversary Emulation and Threat Intelligence)
El día uno fue bastante entretenido, a pesar de que consistió en comenzar a revisar la máquina virtual y asegurarse de que esté funcionando de manera correcta. A su vez, una ola de información teórica que a veces tendía a sobrepasarme. Fui tomando nota de unos interesantes tips sobre cómo guiar de manera correcta la emulación de un adversario, algunas herramientas interesantes que no conocía del todo y aprecié la buena disposición del instructor para contestar las preguntas, como también, conceptos claves que dio de inteligencia con base en metodologías y procesos que crees saber, pero nunca está demás tener una opinión diferente que contraste con lo que conoces.
Algo que destaco de este día es la explicación de la diferencia entre emulación y simulación de un adversario.
Gracias a que además de tener el contenido digital, SANS te envía los libros físicos, quedé con varias notas que tengo que revisar y algunas que pude argumentar para que me quedara mucho más clara la explicación.
Día 2: Infraestructura de ataque y seguridad operativa (Attack Infrastructure and Operational Security)
¡Al fin! Este día estuvo lleno de laboratorios complementados con una excelente dosis de conocimiento teórico. Comenzó con algunos frameworks, los primeros compromisos y algunos que otros tips importantes a la hora de tomar decisiones en una emulación real, un poquito de túneles y pivotes, para finalizar con conceptos y puesta en marcha de redirección de tráfico.
Los labs estaban increíbles, muy bien armados y la documentación se complementa de manera perfecta si te quedas estancado en algún lugar. Ni hablar de las primeras dad jokes del instructor; esas sí que están a otro nivel jaja.
Insisto con lo de los libros físicos, es una muy buena herramienta para anotar algunos consejos adicionales que te dan mientras avanza la lectura. Para mí, fueron muy valiosos y complementan los conceptos que ya vienen explicados.
Día 3: Entrar y permanecer (Getting In and Staying in)
Escalamiento de privilegios, credenciales, técnicas de persistencia y evasión fueron la tónica de este día que estuvo lleno de laboratorios bastante largos, además de un demo del instructor en vivo que me pareció bastante interesante de ver.
Aparte de las historias de cómo algunos investigadores fueron creando sus caminos y las siempre oportunas dad jokes, el material de este día me pareció muy interesante, ¡nunca pensé que terminaríamos el Workbook 1-3 completo! Imagino que han tomado mucha retroalimentación para poder calzar con los tiempos.
Un poco sobre los labs de este día: me di cuenta de que no solo basta con hacer los ejercicios, siempre hay algo más allá en las máquinas que puedes ir descubriendo por tu cuenta y eso hace que a veces la curiosidad te gane y quieras continuar conectado, lo que me parece genial.
Día 4: Ataques de Active Directory y movimiento lateral (Active Directory Attacks & Lateral Movement)
Este día fue estupendo y a la vez cansador, una bomba de conocimiento relacionado a Active Directory que, si no fuera por la buena capacidad que tuvo Jean para explicarlo de una manera sencilla y fácil de digerir, realmente hubiera sido muy aburrido. Destaco la explicación de la autenticación con Kerberos: fue extremadamente fácil de entender. Me quedo con una muy buena base de enumeración, que fue lo que más se trabajó en los laboratorios, con muchas herramientas distintas, donde aprendí que pequeños detalles marcan la diferencia a la hora de tomar decisiones frente a los equipos que quieres controlar.
Creo que mi Kun-fu en PowerShell y otras herramientas aumentó al menos un color de cinturón, jaja.
Si bien estuvimos trabajando con dos C2 diferentes, no alcanzó el tiempo para terminar los labs con ambos, así que preferí elegir uno y seguir intentando cosas con ese :D.
Día 5: Acción sobre objetivos e informes (Action on Objectives & Reporting)
Este día culminó el curso, con un análisis básico de cómo generar un reporte, pero con detalles que sin bien son conocidos, nunca está demás repasar. Los laboratorios fueron cortos, pero de técnicas largas, por lo que tomó bastante tiempo resolverlos y en algunas ocasiones el tiempo no era suficiente. Lo más interesante es que se tocaron temas que están muy al día a la hora de ejecutar técnicas relacionadas con Active Directory como, por ejemplo, ataques a certificados (ADCS) o delegaciones RBCD.
Algunas técnicas explicadas estuvieron muy fuera de lo correctamente seguro en operaciones de Red Team, pero se entiende que es la base para poder sumergirse en el tema y descubrir o conocer nuevas técnicas.
Me voy con una muy buena impresión de este día, con muy buenas notas para repasar.
Día: 6 Immersive Red Team Capture the Flag
El CTF estuvo fenomenal. Lo que me pareció interesante fue que, si bien era muy parecido a todo lo que habíamos hablado en el curso, había algunos detalles que tenías que tener en cuenta a la hora de avanzar.
Me hubiese gustado que el CTF durara más tiempo, pero entiendo también que quizás es porque más que una competencia fue probar las habilidades y poner en práctica lo aprendido.
¡Saqué el primer lugar del CTF! No lo terminé completo, pero pude resolver la mayoría de los retos en menor tiempo, hubiera sido entretenido que dijeran algo al respecto por haber obtenido el primer lugar, pero como dije antes, entiendo que no era una competencia.
Fin
Terminar este curso ha sido genial. Para los amantes del Red Team, sin duda es algo que deberían hacer, quizás como he comentado durante este review, no es avanzado, pero consolida la base que ya tienes a la hora de llevar a cabo este tipo de ejercicios. También, para las personas que no tienen conocimiento en Red Team, sin miedo y con harta dedicación podrían tomarlo y aprender muchísimo.
He tomado varios cursos y certificaciones de Red Team, pero en mi opinión esta es la más completa hasta el momento.
Me voy muy feliz de haber tomado este curso, agradecido eternamente a Dreamlab Technologies por darme la oportunidad y el tiempo de cursarlo. Espero con ansias que en algún momento tenga certificación para poder sacarla :D.
Sin más, agradecer a @pwneip por responder mis preguntas, animarme a continuar y tomar este curso y obviamente a @Jean_Maes_1994 por poder enseñar cosas técnicas en un lenguaje super práctico y poner a disposición todo su conocimiento para poder aprender de la mejor manera.
PD: actualizar las dad jokes xD.
Edit 2:
Me llegó la Coin del CTF!