C’est quoi
Le CRTO (Certified Red Team Operator) est la certification red team de ZeroPointSecurity, centrée sur Cobalt Strike. Le cours couvre la mise en place d’infrastructure C2, la gestion des beacons, les canaux de communication et les relais entre beacons, le mouvement latéral, la persistance, l’évasion, le tradecraft OPSEC, les Beacon Object Files (BOFs), et les Aggressor scripts. L’examen dure 48 heures contre un environnement Active Directory Windows avec des défenses actives.
Objectif de l’examen : compromettre la cible finale — mais ça ne suffit pas pour passer. Le système de notation intègre l’OPSEC. Tu dois rester sous un seuil de détection tout au long de l’examen pour accumuler assez de points.
Pourquoi j’ai passé cette certification
Avec une base AD construite via le CRTP — exploitation manuelle outil par outil, tradecraft PowerShell, C2 open-source — le CRTO était la suite logique. Mon équipe utilisait Cobalt Strike opérationnellement, et je voulais le comprendre correctement : pas juste savoir lancer des commandes, mais comprendre comment l’outil fonctionne réellement, ce que chaque action fait en fond, et où se situe le risque de détection.
Lire tout, vraiment
Le contenu du cours est bien structuré et dense. Des conseils sont disséminés un peu partout — pas toujours aux endroits évidents. Si tu parcours en diagonale, tu les rateras. Lis chaque section attentivement, y compris les passages qui semblent être du contexte plutôt que de l’instruction. C’est souvent là que RastaMouse a glissé quelque chose dont tu auras besoin plus tard.
Le cours a aussi récemment déplacé l’évasion plus tôt dans le programme, avant les chapitres techniques principaux. C’est le bon choix, et ça change la façon d’aborder tout ce qui suit.
Le chapitre Évasion
C’est le point fort du cours. La théorie est solide, mais la vraie valeur c’est ce que tu fais au-delà — et ça, c’est ta responsabilité. Le cours pose les concepts et te montre les mécanismes, mais le chapitre évasion c’est là où tu dois arrêter de suivre et commencer à expérimenter.
Personnalise tes payloads. Teste différentes configurations. Essaie des choses qui ne sont pas explicitement demandées. C’est le chapitre où tu comprends vraiment comment le staging de payload, l’obfuscation et le comportement sleep fonctionnent — et où de petits changements produisent des résultats de détection significativement différents. Sois curieux ici, plus qu’ailleurs dans le cours.
Si le cours place maintenant l’évasion en premier, c’est délibéré : au moment où tu exécutes du mouvement latéral, de la persistance ou des opérations sur les credentials, le mindset OPSEC est déjà installé. Tu ne colles pas l’évasion en fin de parcours — tu penses à la détection à chaque étape. C’est comme ça que fonctionnent les vrais engagements.
Les mécanismes C2
Le cours couvre Cobalt Strike sérieusement — pas juste “voilà comment utiliser l’interface”. Comprendre comment les beacons communiquent, comment router à travers des relais, et comment chaîner des beacons à travers des segments réseau, ça ne s’obtient pas en lançant des payloads à l’aveugle. Les BOFs et les Aggressor scripts complètent le tableau : les BOFs pour l’exécution in-process de capabilities custom, les Aggressor scripts pour automatiser et étendre le comportement de Cobalt Strike.
C’est l’une des parties les plus solides de la formation. Connaître l’architecture de l’outil change la façon dont tu l’opères.
Le trade-off des abstractions
Voilà quelque chose qui mérite d’y penser sérieusement. Cobalt Strike simplifie les opérations complexes. jump gère le mouvement latéral en une commande. steal_token gère l’usurpation d’identité. Cette commodité est réelle — c’est pour ça que les opérateurs utilisent CS en premier lieu.
Mais cette commodité a un coût : tu peux exécuter des opérations sans comprendre ce qui se passe réellement. La plupart des commandes d’action de Cobalt Strike sont des abstractions sur des opérations qui, faites manuellement, impliquent plusieurs étapes, des appels API spécifiques, et des empreintes de détection distinctes. Une seule commande CS peut silencieusement enchaîner création de service, dépôt de payload, exécution et nettoyage — ou duplication de token, injection de thread et manipulation de handle — et rien de tout ça n’est visible si tu ne sais pas quoi chercher.
Si tu as fait le CRTP avant le CRTO, c’est là que cette base rapporte. Quand tu as manuellement construit les opérations équivalentes étape par étape, tu comprends ce que Cobalt Strike abstrait. Tu connais la surface de détection parce que tu l’as vue à nu. Tu sais quelle étape dans la chaîne est bruyante.
Si le CRTO est ta première formation red team sérieuse, prends conscience de cette lacune. Le cours couvre l’OPSEC et la détection, mais il ne te fait pas tout construire from scratch. Complète-le — utilise le temps de lab du chapitre évasion pour creuser ce que chaque commande fait réellement, pas juste si elle fonctionne.
L’examen
48 heures. Défenses actives. Notation OPSEC.
L’objectif final est obligatoire — tu dois l’atteindre. Mais l’atteindre ne suffit pas. La notation pénalise les détections, donc tu dois maintenir un seuil OPSEC minimum tout au long pour accumuler assez de points pour passer. C’est bien pensé : ça élimine la stratégie “tout balancer bruyamment, reset les détections, et compromettre l’objectif”. Tu dois travailler proprement.
Conseils :
- Le temps de lab du chapitre évasion, c’est de la préparation à l’examen. Ne le bâcle pas.
- Connais tes payloads. Comprends ce que chaque configuration change avant d’être sous pression temporelle.
- Les décisions OPSEC s’accumulent — une action bruyante tôt peut hausser le niveau d’alerte de base pour tout ce qui suit.
- L’environnement d’examen reflète le lab. Si tu as bien travaillé le cours, l’environnement ne devrait pas te surprendre.
Où ça se place
Le CRTO est le chemin spécialisé Cobalt Strike. Si tu veux opérer CS correctement et le comprendre au-delà de l’usage en surface, c’est la bonne certification. La comparaison avec le CRTP est directe : le CRTP t’apprend l’exploitation AD manuellement, le CRTO t’apprend à le faire à travers un C2 professionnel.
Ils se complètent. Le CRTP te donne la compréhension mécanique ; le CRTO te donne le workflow opérationnel. Faire les deux — dans cet ordre — produit un opérateur significativement plus solide que l’un ou l’autre seul.
Pour aller plus loin en évasion et développement d’outils : CRTE/CRTM ou de la recherche plus spécialisée est la couche suivante. Le CRTO est le bon palier entre junior-AD et ce niveau.
Verdict
Bonne certification. La structure OPSEC-first du cours et la notation de l’examen pondérée par les détections reflètent comment les opérations red team fonctionnent réellement — et c’est plus rare que ça ne devrait l’être. Le chapitre évasion à lui seul justifie le coût si tu t’y engages vraiment.
Va-y avec curiosité. Lis tout. Expérimente au-delà de ce qui est demandé. C’est là que se trouve la vraie valeur.