ဒီနေ့ရေးမယ့်အကြောင်းအရာကတော့ INE ကနေ Offer လုပ်တဲ့ eCTHP (eLearnSecurity Certified Threat Hunting Professional) exam ရဲ့ Review အကြောင်းပဲဖြစ်ပါတယ် .. Exam အောင်တာကြာပြီဆိုပေမယ့် ခုမှ Review ရေးဖြစ်တာပါ
eCTHP ကို ပုံမှန်အချိန်ဝယ်မယ်ဆို Exam သီးသန့် Voucher (Course မပါ) ကို USD 400 ပေးရမှာဖြစ်ပါတယ် .. ဒါပေမယ့်လည်း တစ်ခါတလေကျရင် INE ကနေ Discount ချပေးတာမျိုးတွေရှိပါတယ် .. အဲ့အချိန်တွေစောင့်ဝယ်သင့်ပါတယ်
Exam Structure
တခြားအကြောင်းမပြောခင် စာမေးပွဲပုံစံအကြောင်းပြောပြပါမယ် .. စာမေးပွဲဟာ Practical Exam ဖြစ်ပြီး Box 3 ကို 48 နာရီ access ပေးထားမှာဖြစ်ပါတယ် .. ပြီးရင် Report ရေးဖို့အတွက် 24 နာရီအချိန်ထပ်ပေးမှာဖြစ်လို့ စုစုပေါင်း 96 နာရီကြာမယ့် စာမေးပွဲပါ .. အဲ့ဒီ Box တွေဟာ Hack ခံထားရတဲ့ Environment ရဲ့ SIEM Access ပေးထားပြီး Hacker တွေ ဘာလုပ်နေတယ်/ဘယ်ကစပြီးဝင်လာတယ်ဆိုတာကို Threat Hunt လုပ်ခိုင်းတာဖြစ်ပါတယ် .. ဒါ့အပြင် Memory Image ပေးပြီး Memory Forensics လုပ်ခိုင်းတာလည်း ပါ,ပါတယ်
- Exam Duration – 96 hours total (48 hours lab + 24 hours report)
- Exam Scenerio – 3 Machines
- VPN – OpenVPN
Exam စတာနဲ့ Letter of Engagement နဲ့ Threat Intelligence Report ဆိုပြီး PDF File 2 ခုပေးပါတယ် .. ပြီးရင် VPN Access လည်းပေးပါတယ် .. Exam Report Format ကိုလည်း Letter of Engagement ထဲထည့်ရေးပေးထားပါတယ် .. Exam မှာ 75 မှတ်ကအောင်မှတ်ပါ .. ကိုယ်တွေ့သမျှ Findings တွေကို Screenshot ရိုက်ပြီးထည့်ပေးလေ ကောင်းလေပါပဲ .. Screenshot တွေကကြည်လင်ပြတ်သားနေအောင် ဂရုပြုပါ
Timeline
အောက်ကတော့ ကျွန်တော့်ရဲ့ Exam ဖြေတဲ့ Timeline ပါ
- 21/07/2023 01:24 AM (UTC) – Bought the exam voucher
- 21/12/2023 00:56 AM (UTC) – Started the exam
- 22/12/2023 10:11 AM (UTC) – Finished the exam (Report Uploaded)
- 30/01/2024 12:48 AM (UTC) – Received the exam result (Passed)
မြင်တဲ့အတိုင်းပဲကျွန်တော်ဖြေတာအပြီးအစီး 34 နာရီလောက်ပဲကြာပါတယ်
Exam Preparation
စာမေးပွဲက Splunk, Volatility, ELK ၃ ခုကို heavy သုံးရပါတယ် .. အဲ့အတွက် Splunk ရဲ့ Boss of the SOC လို Lab တွေလေ့ကျင့်တာအပြင် BTLO, CyberDefenders, TryHackMe တို့လို Platform တွေကနေ Splunk, Volatility, ELK တို့ပါတဲ့ Lab တွေကိုဖြေထားသင့်ပါတယ်
Tools Used: Splunk, Volatility 2, ELK
ကျွန်တော့်တုန်းက INE က Threat Hunting Professional Course ကိုပါ Trial 7 ရက်ယူပြီးကြည့်လိုက်ပါတယ် .. အကုန်ပြီးအောင်မကြည့်လိုက်ရတဲ့အတွက် ဒီ Course က Exam အတွက် အသုံးဝင်မဝင်မပြောတတ်ပါဘူး
Course Structure
INE ရဲ့ Course မှာ 3 ပိုင်းပါ,ပါတယ်
- Introduction to Threat Hunting
- Threat Hunting: Hunting the Network & Network Analysis
- Threat Hunting: Hunting the Endpoint & Endpoint Analysis
ကျွန်တော်က Network Hunting ကြည့်နေတုန်း Trial ကုန်သွားတော့ဆက်မကြည့်ဖြစ်တော့ပါ .. ဖြစ်ချင်တော့ Exam က Endpoint Focus ပိုဖြစ်လို့ Endpoint Hunting ကိုပိုကြည့်စေချင်ပါတယ်
နောက်တစ်ခုက MITRE ATT&CK Framework နဲ့ရင်းနှီးနေအောင်လေ့လာထားပြီး MITRE အတိုင်း Hunt နိုင်ရင်အဆင်ပြေတယ်လို့မြင်ပါတယ်
Summary/Verdict
Exam က Practical ဖြစ်လို့ Theory သီးသန့်မေးတဲ့ Exam တွေထက်တော့ပိုသာပါတယ် .. Exam VPN ကလည်း Stable ဖြစ်ပြီးဖြေရတာအဆင်ပြေပါတယ် .. ကျွန်တော်မကြိုက်တဲ့အချက်ကတော့ Exam Scenario ၃ ခုက ပုံသေဖြစ်နေတာမို့လို့ ဘယ်သူဖြေဖြေ ဒီ Scenario ၃ ခုပဲလာမှာကိုသဘောမတွေ့ပါဘူး .. OSCP လိုမျိုး Box တွေ random ပေးသင့်ပါတယ် .. ဖြေသင့်လားမေးရင်တော့ ကိုယ်နဲ့ပဲဆိုင်ပါတယ် .. Threat Hunting ဟာ Entry Level Skillset မဟုတ်ပါဘူး .. ဒါကြောင့်ခုမှ Cyber Security Industry ထဲစဝင်မယ့်လူတွေဆိုရင်တော့ တခြား Option တွေဖြစ်တဲ့ Blue Team Level 1 (BTL1), CompTIA CySA+ တို့ကိုပဲ Recommend ပေးချင်ပါတယ် .. Experience ရှိပြီးသားလူတွေအနေနဲ့ဆိုရင်တော့ Budget အရမဆိုးဘူးလို့ပြောလို့ရတဲ့ Certificate ပါ .. ကျွန်တော်သာဆို 2024 မှာ eCTHP မဖြေပဲ OSDA, BTL2 လို Certificate မျိုးဖြေပါမယ် (Budget တော့ကွာပေမယ့်လည်း Discount အချိန်စောင့်ဝယ်ရမှာပေါ့လေ :D)
သင့်လျော်ရာ Preparation Resources တွေကိုလည်း အောက်ပါတစ်ပါတည်းပေးထားပါမယ်
- https://www.sans.org/blog/the-ultimate-list-of-sans-cheat-sheets/
- https://attack.mitre.org/techniques/T1070/006/
- https://attack.mitre.org/techniques/T1055/
- https://attack.mitre.org/techniques/T1021/
- https://attack.mitre.org/techniques/T1552/001/
- https://attack.mitre.org/techniques/T1134/
- https://redcanary.com/threat-detection-report/techniques/windows-management-instrumentation/
- https://www.hackingarticles.in/mssql-for-pentester-command-execution-with-xp_cmdshell/
- https://github.com/breenmachine/RottenPotatoNG
- https://detection.fyi/sigmahq/sigma/unsupported/windows/win_possible_privilege_escalation_using_rotten_potato/
- https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
- https://bots.splunk.com/
အားလုံးပဲအဆင်ပြေကြပါစေခင်ဗျာ