[Estado de certificación: Aprobado con puntaje final 93%]
¡Que tal todos! Hoy les traigo una pequeña entrada en español sobre mi experiencia en una de las certificaciones mas desafiantes que me ha tocado dar hasta el momento. Directo de Blue Team Labs Online, aparece Blue Team Level 2, una certificación que pone a prueba tus conocimientos en temas defensivos de ciberseguridad, tales como Threat Hunting, Incident Response, Forense Digital y Malware Analysis en un nivel avanzado.
Antes de empezar de lleno con el contenido duro de esta entrada, quiero reafirmar que las opiniones vertidas en este post son exclusivas del dueño de este blog (mías bruhhh), basadas en la experiencia vivida a lo largo de todo el curso, desde el estudio realizado hasta la rendición de la prueba final. Tomando en cuenta que este ha sido un proceso de más de 5 meses, espero poder resumirlo de forma adecuada para que les sea útil si en algún momento deciden tomar esta certificación. Además, por temas obvios de la certificación, no puedo dar muchos spoilers de la prueba en sí, pero creo que aun así mi aporte será de gran ayuda.
Por último, decidí hacer esta entrada en español, dado que la gran mayoría de reseñas que se encuentran en internet están en inglés. Es un gesto de solidaridad con mis amigos hispano-hablantes.
Pre-requisitos
El curso está diseñado para personas que ya tienen experiencia en el área de respuestas de incidentes y con conocimiento a nivel técnico de ciber amenazas. Además, se espera que el estudiante tenga conocimientos en la administración de sistemas Windows y Linux en nivel intermedio, ya que no ahondarán en temas relacionados al funcionamiento de los sistemas operativos en sí o de Active Directory a nivel empresarial. Por todo esto, recomiendo que antes de dar esta certificación, puedan involucrarse en las áreas defensivas de ciberseguridad, las cuales son abarcadas en la plataforma de Blue Team Labs Online o la misma certificación BTL1.
Curso de preparación
El material del curso se divide en 2 partes fundamentales, en los cuales encontramos contenido teórico y contenido práctico (laboratorios). El contenido, en ambos casos, se divide en Análisis de Malware, Threat Hunting, Advanced SIEM, Vulnerability Management y una sección final de preparación para la prueba final.
El material de la sección teórica es bastante completo. Tiene buenos ejemplos y son perfectos para poder desenvolverse en los laboratorios prácticos. Para alguien que está recién avanzando hacia el nivel intermedio, le irá bien leer y tomar apuntes de todo el detalle de las secciones teóricas. Sin embargo, esta sección puede volverse bastante extensa al no contar con videos.
Dado que llevo varios años trabajando como consultor de respuesta a incidentes, me di la libertad de saltarme varias de estas secciones, ya que, en algunos aspectos, las sentía muy básicas o simplemente ya las había estudiado en el curso GCFA de Sans.
Las personas que trabajan o han trabajado en la parte ofensiva de ciberseguridad, sus conocimientos son un enorme plus para esta certificación. El hecho de poder pensar como un actor de amenaza, en muchos de los laboratorios, te da una ventaja en cuanto a conocer los siguientes pasos que se realizan normalmente en una intrusión con los distintos accesos. Esto, sin lugar a dudas, ayuda en la sección de Threat Hunting, en donde debemos constantemente trazar los movimientos del actor de amenaza mediante los diferentes artefactos disponibles, lo que muchas veces se vuelve algo obvio si logramos pensar como ellos.
Por ejemplo: un atacante que gana acceso por primera vez hacia un equipo Windows conectado a una red de Active Directory, ejecutará comandos para enumerar posteriormente el dominio o ejecutará alguna herramienta como Sharphound (sin mencionar el volcado de credenciales o ejecución de alguna persistencia).
Además, la parte de Vulnerability Assessment se vuelve bastante fácil si ya tienes conocimientos en herramientas como Openvas, Nikto o Nmap.
Dado que provengo de constantes entrenamientos y tengo experiencia real en la parte de DFIR, realizar Threat Hunting utilizando algunas herramientas SIEM no fue algo nuevo para mi. El mayor desafío de estas secciones (y sobre todo en la prueba final), está en saber donde buscar y cuando utilizar la información que tienes a disposición. Por ejemplo, si quieres ver conexiones hacia un dominio en particular desde la máquina víctima (Windows en este caso), las preguntas naturales serían: ¿Qué artefactos registran esta evidencia para nuestro análisis? ¿Existen logs de conexiones o hay alguna otra forma de mirarlos? De no encontrar esta información en la máquina, entonces sí nos vendría bien saber si existen logs perimetrales en estas soluciones SIEM.
En base a mis conocimientos, la sección más compleja fue Análisis de Malware. Existen muchas herramientas para esta parte del curso que no me había usado antes. Si no fuera por mi experiencia resolviendo retos CTF, creo que esta parte habría sido mucho más complicada de resolver.
Tomando en cuenta que cuento con conocimientos sobre análisis estático y dinámico, existen muchas formas de ofuscación en los binarios maliciosos que te imposibilitan el poder entender lo que estás mirando. En este contexto, recomiendo tener un manejo avanzado de CyberChef para poder desofuscar la mayor cantidad de información que encuentres en droppers y binarios maliciosos. Recordemos que hay muchos tipos de beacons distintos y herramientas C2 como CobaltStrike, Covenant o Metasploit que los generan, por lo que saber desenvolverse con sus respectivos payloads te ahorrará tiempo en el futuro.
Respecto a los laboratorios prácticos, diría que estos poseen un nivel fácil-intermedio versus los que puedes encontrar en la página de BTLO. No es muy complejo lidiar con ellos, pero algunos si te tomarán bastante tiempo debido a que requieren desplegar entornos más complejos o herramientas especializadas que procesan grandes cantidades de información. Aún así, de las 120 hrs disponibles que posee la certificación, me sobraron alrededor de 85 hrs, lo que es una gran cantidad para practicar nuevas formas de encontrar evidencia o identificar "caminos alternativos" para resolver las preguntas.
El laboratorio sigue el mismo formato que BTLO, por lo que muchas veces se presta para realizar algo de "fuerza bruta" a las respuestas cuando no se entiende la pregunta. En este sentido, recomiendo que te detengas y hagas un doble-check de toda la información que tengas.
Si por alguna razón diste con la respuesta correcta y no entiendes porqué es efectivamente esa respuesta, te sugiero revisar el solucionario que viene en la guía del curso, ya que ahí podrías encontrar más detalles del porqué o también puedes consultar en el Discord del curso.
Finalmente, no recomiendo solo quedarse con los laboratorios del curso para dar la prueba. Utilizar la página de BTLO para seguir practicando tus skills es una buena forma de ganar confianza para el escenario final que exponen en el examen. También, recomiendo investigar más a fondo sobre cualquier tipo de artefacto Windows/Linux y dominar la información que proveen. A pesar de que en la prueba tienes la libertad de usar internet, si tienes apuntes bien estructurados, podrás ser más rápido buscando lo que necesitas.
Examen
Como saben, el examen tiene una duración de 72 horas, lo que incluye tanto la investigación completa del ambiente proporcionado como el reporte que se entregará a los examinadores.
A primera vista, 72 horas horas podrían parecer suficientes, ya que BTL proclama que en ese lapso de tiempo puedes descansar de forma apropiada e incluso usar uno de los días para trabajar mientras rindes el examen. Sin embargo, mi experiencia fue muy distinta, pues solo ocupe 6 de las 72 horas para dormir. El resto del tiempo fue totalmente dedicado al examen, teniendo solo pequeñas pausas para mis necesidades básicas y pasear a mis perritos.
El examen está hecho para aplicar todos los conocimientos ganados en los laboratorios. Sin embargo, en mi experiencia personal, creo que lo aprendido en los laboratorios de práctica se queda algo corto en cuanto a lo que realmente necesitaremos en el examen. Si bien, aún no tengo los resultados de mi examen al momento de escribir este post, creo que mi experiencia trabajando en casos reales de respuesta a incidentes me ayudó bastante a armar la historia final.
¿Por qué creo que los laboratorios no son suficiente?, la respuesta viene en forma de ejemplo. Pensemos que somos albañiles que queremos construir un edificio. Día a día nos enseñan a utilizar las herramientas que tenemos a nuestra disposición para construir el edificio. Luego de aprender a usar todas estas herramientas te piden construir un edificio... ¿no les parece algo precipitado?. Similar a este ejemplo, una intrusión por actores de amenaza tiene distintas fases y evidencia que se interconectan para contar una historia y si bien el curso de BTL2 puso a nuestra disposición las herramientas para investigar puntos finales de forma correcta, faltó un hilo conductor entre estos para permitirnos aprender a construir una historia robusta en un entorno complejo.
Esto último no significa que el curso no sea bueno, sino que me parece que el contenido aún tiene oportunidades para mejorar, lo que permitiría que la experiencia fuera más grata y completa, sobre todo si no eres alguien que trabaja en el área de consultoría de respuestas a incidentes.
Hay que tener en cuenta, que gran parte del mundo de la ciberseguridad se rige por el saber buscar en las fuentes de información correctas, dado que no siempre es posible conocer a cabalidad todo lo que ocurre en un entorno (sobre todo si nos enfrentamos a amenazas diseñadas por el propio staff de BTL).
En mis primeros dos días de examen, me dediqué totalmente a la investigación técnica que tenía por delante. Utilicé el viejo y confiable Cherrytree para documentar cada uno de mis hallazgos y evidencias relacionadas a los movimientos del atacante. Es muy importante no dejar pasar ninguna captura de pantalla. Incluso, si infieres que algo no está bien en alguno de los sistemas que estás viendo y te parece sospechoso, es muy recomendable que lo anotes y tomes foto de ello, ya que hay gran probabilidad de que sea algo malicioso. En muchas ocasiones encontré pistas de artefactos que parecían estar fuera de lugar o me parecían totalmente sospechosas, pero las obvié y no fue hasta varias horas después que pude hacer calzar varias de estas cosas.
Si llevas una buena documentación (ya sea en Cherrytree, Obsidian o incluso en el mismo informe), te aseguro que podrás sortear varias lagunas de información que van apareciendo en el camino, por lo que este es un punto clave del examen. Aquellas personas que no toman evidencia de forma oportuna y no toman nota de sus "sospechas", terminarán tergiversando gran parte de la historia sin darse cuenta, con el fin de hacerla calzar con su escasa evidencia.
En mi ultimo día de examen me sentía totalmente destruido por el desgaste psicológico de no dormir y por haber repasado decenas de veces mi evidencia. Hasta ese entonces, tenía gran parte de la historia, pero tenía ciertas lagunas de información las cuales no sabía si era posible llenarlas, debido a la visibilidad que disponía del entorno del examen. Aun así, comencé a completar las secciones del reporte (plantilla que BTL2 proporciona,) y paralelamente investigué aquellas cosas que no estaban del todo claras en la historia de los distintos puntos finales.
Escribir el informe me tomó aproximadamente 24 hrs, tiempo en el cual no pude dormir porque avanzaba de forma muy lenta en el reporte por el gran desgaste que me había generado el examen. Afortunadamente, logré completar el informe con las secciones solicitadas, pero con la incertidumbre de no saber si la historia contada tiene todos los detalles mínimos que la certificación requiere para aprobar.
Como nota final de esta sección, debo mencionar que el laboratorio me dio algunos problemas cuando me ausentaba por una cierta cantidad de horas., por lo que fue necesario reiniciar el ambiente de trabajo y perdiendo en varias ocasiones todo el progreso realizado dentro del ambiente (configuraciones realizadas, preparación de ambientes para análisis de malware, etc.). Estos infortunios, me restaron tiempo valioso del examen. Este problema ya fue reportado por mi y por otras personas, por lo que espero que en las siguientes versiones del examen, hayan podido arreglar este problema de forma correcta.
Recomendaciones y TIPS finales
A continuación, dejo la infaltable lista de recomendaciones y TIPS que te pueden ser útiles al momento de dar el examen de esta certificación:
Lee el Discord la semana antes de tu examen, allí podrás encontrar opiniones sobre el examen y el curso, además de experiencias con algunas herramientas que deberás usar.
Revisa las notas del panel lateral del examen, allí hay instrucciones que te ayudaran a desenvolverte bien en el ambiente. Anótalo como parte de las primeras cosas que debes realizar en el examen.
Revisa el documento template antes de comenzar tu investigación!. Mucha gente pasa por alto este detalle y luego debe trabajar el doble.
Familiarízate con el ambiente de trabajo. Es necesario que practiques y practiques antes de dar el examen, por eso, sigue los consejos al pie de la letra del capítulo final de la certificación.
Practica en la plataforma de BTLO. Allí podrás encontrar numerosos ejercicios para sortear la ansiedad del examen.
Documenta todos los laboratorios que realices en el curso y documenta aquellos TIPS que se presentan en cada sección.
Revisa todos los solucionarios del curso luego de resolver por ti mismo cada laboratorio, allí encontrarás nuevas formas de resolver los problemas.
Documenta todo lo que creas sospechoso, incluso, documenta aquellas posibles hipótesis que tengas relacionadas a las acciones del actor de amenaza. Luego ve descartándolas una a una en base a los artefactos y evidencias que tienes.
Refuerza tus debilidades. Si tienes algún tópico en particular que no entendiste bien antes del examen, repasa nuevamente las herramientas y metodología de uso para ese tópico en particular.
Piensa como un actor de amenaza. ¿Cuáles son sus motivaciones?, ¿Cuál es el siguiente paso que realizaría para tomar control?, ¿Qué información crítica tiene el sistema vulnerado?, ¿Cómo podría llegar a ella?.
Preocúpate de tener un ambiente cómodo para sobrevivir las siguientes 72 horas. Si tienes problemas de espalda, es hora de comprar una silla nueva.
Prepara bien la comida que necesitarás, toma respiros e hidrátate lo que más puedas. Al final del periodo, si escribes un informe cansado y agotado, no podrás redactar como usualmente lo haces.
Intenta dormir lo más posible antes del día del examen. Nunca se sabe si tendrás que batallar sin parar en esas 72 hrs. Además, trata de relajarte y tener un día previo agradable y sin estrés.
Espero que esta información les sea de ayuda al momento de rendir su examen. Si les resultó útil, compártanlo a quienes podría servirles y sin más que decir, me despido de este extenso post. Saludos y !buena suerte!