▸ Road to CTF Master Level III
IMPORTANTในห้องโถงสุดท้ายของปราสาท ชายชราวางขวดน้ำยาเรืองแสงสามขวดลงบนแท่นหิน · แดง, ฟ้า, ม่วง “ถึงเวลาที่เราต้องเลือกขวดใดขวดหนึ่งก่อนที่เกมจะเริ่มต้น… แต่จำไว้, พลังที่ซ่อนอยู่ในแต่ละขวดนั้นเป็นมากกว่าที่เราคิด”
เมื่อคุณจับขวดสีแดง ความรู้สึกอบอุ่นและความตื่นเต้นก็ลามเข้ามาในร่างกาย คุณรู้ทันทีว่าคุณจะสามารถเจาะทะลุผ่านระบบความปลอดภัยใด ๆ ก็ได้ พลังของ Red Team หลั่งไหลเข้าสู่จิตใจคุณ มอบทักษะในการค้นหาช่องโหว่และวางแผนโจมตีเชิงรุกได้อย่างแม่นยำ
แต่หากคุณเลือกขวดสีฟ้า แสงเย็นชาก็แผ่ซ่านรอบตัวคุณ รู้สึกเหมือนคุณสามารถจับตาดูทุกสิ่งรอบข้างได้อย่างเฉียบขาด ทุกการเคลื่อนไหว ทุกคำสั่งในโลกไซเบอร์ที่เคลื่อนไปช้า ๆ คุณเป็นผู้เฝ้ามอง ปกป้องจากการโจมตี การดื่มจากขวดนี้จะทำให้คุณเป็นผู้ป้องกันจากทีม Blue Team คุณสามารถทำนายการโจมตีและตอบสนองด้วยทักษะที่หาที่เปรียบมิได้
แต่หากคุณเลือกขวดสีม่วง ความสมดุลระหว่างสองด้านก็ก่อตัวขึ้น ความรู้สึกทั้งรุกและรับปะทุขึ้นในตัวคุณ เหมือนคุณสามารถใช้พลังของทั้งการโจมตีและป้องกันได้พร้อมกัน นี่คือพลังของ Purple Team การผสมผสานระหว่างการโจมตีและการป้องกันอย่างไร้ที่ติ ทักษะนี้ทำให้คุณเป็นผู้วางแผนที่เก่งกาจที่สุดในโลกไซเบอร์
…คุณยื่นมือไปคว้าขวดสีม่วง
สวัสดีครับทุกคน ยินดีต้อนรับสู่ Road to CTF Master Level III
เขียนโดยผมเอง Ar3mus
ถ้า Level I คือการเปิดประตูเข้าโลก CTF และ Level II คือศาสตร์ของฝ่ายตั้งรับ (Blue Team) · Level III นี้คือบทสุดท้าย: Purple Team การหลอมรุกและรับให้เป็นหนึ่งเดียว นี่คือมุมมองที่ทำให้เรา “เก่งขึ้นทั้งสองด้าน” และเป็นแก่นของการเป็น CTF Master ที่แท้จริงครับ
NOTEบล็อก
:::importantคือเนื้อเรื่องนิยายที่แต่งขึ้นเพื่อดำเนินเรื่องของซีรีย์นี้ ส่วนความรู้จริงอยู่นอกบล็อกเหล่านี้นะครับ
WARNINGและเหมือนเดิม · เนื้อเรื่องเป็นการสวมบทบาทเท่านั้น เราไม่ได้เป็นจอมเวทตัวจริง ☠ (แต่ถ้าใช้เวทย์ได้จริงก็ติดต่อผมด้วยนะ 555)
Purple Team
IMPORTANTน้ำยาสีม่วงไหลผ่านลำคอ · แล้วคุณก็ “เห็น” ทั้งสองด้านพร้อมกัน คุณเห็นว่าผู้บุกรุกจะเดินเข้ามาทางไหน และเห็นว่าผู้เฝ้ามองจะจับเขาได้ตรงจุดไหน ชายชรายิ้ม “นี่ไม่ใช่ทีมที่สาม · แต่คือ สะพาน ระหว่างสองทีม ผู้ที่ทำให้ฝ่ายรุกเก่งขึ้นเพราะรู้ว่าฝ่ายรับมองอะไรอยู่ และทำให้ฝ่ายรับเก่งขึ้นเพราะรู้ว่าฝ่ายรุกจะทำอะไรต่อไป”
Purple Team ไม่ใช่ “ทีมที่สาม” · แต่คือ กระบวนการ ที่ Red กับ Blue ทำงานร่วมกัน เป้าหมายเดียวคือ: ฝ่ายรุกจำลองการโจมตี · ฝ่ายรับดูว่าตรวจจับ/หยุดได้มั้ย · ถ้าไม่ได้ ก็ปรับ · แล้วลองใหม่ วนไปจนระบบ “มองเห็น” และ “ทน” ได้มากขึ้นจริง ๆ
สโลแกนสั้น ๆ ของ Purple Team: “Attack to defend, defend to attack.”
ถ้าคุณเข้าใจมุมนี้ ตอนทำโจทย์ CTF คุณจะ:
- สาย Red/Pwn/Web · คิดเป็นว่า “ถ้าผมโจมตีแบบนี้ มันจะทิ้งร่องรอยอะไรไว้บ้าง” · หา bypass ที่เนียนกว่า
- สาย Blue/Forensics · คิดเป็นว่า “ผู้โจมตีจะทำขั้นต่อไปคืออะไร” · ไล่ timeline ได้เร็วขึ้น มองออกว่า artifact ไหนสำคัญ
- สาย Misc/A&D · ในโจทย์ Attack & Defense คุณต้องเป็น Purple Team อยู่แล้ว: แพตช์ของตัวเองพร้อมโจมตีคนอื่นไปพร้อม ๆ กัน
ภาคทฤษฎี (Theory section)
★ MITRE ATT&CK · แผนที่ร่วมของสองฝ่าย
หัวใจของ Purple Team คือทุกคนพูดภาษาเดียวกัน นั่นคือ MITRE ATT&CK · Tactic (ทำไป เพื่ออะไร) และ Technique (ทำ ยังไง) ฝ่ายรุกวางแผนตามนี้, ฝ่ายรับเขียน detection ตามนี้, แล้วใช้ ATT&CK Navigator ทำ heatmap ว่า “เทคนิคไหนเราตรวจจับได้/ไม่ได้” · ช่องสีแดงในแผนคือ “การบ้าน” ของรอบถัดไป
★ Adversary Emulation vs Simulation
- Emulation · เลียนแบบ APT กลุ่มหนึ่งแบบเป๊ะ ๆ (ใช้ TTPs ของกลุ่มนั้นจริง) เพื่อทดสอบว่าเรารับมือ “ศัตรูตัวจริง” ได้มั้ย
- Simulation / BAS (Breach & Attack Simulation) · ยิงเทคนิคหลากหลายแบบอัตโนมัติ ครอบคลุมกว้าง ๆ เพื่อวัด coverage
★ Detection Engineering ที่ขับด้วย Red Team
วงจร Purple Team แบบคลาสสิก:
- Plan · เลือก Technique จาก ATT&CK ที่จะทดสอบ
- Emulate · ฝ่ายรุกยิงเทคนิคนั้นในสภาพแวดล้อมจริง/แลบ
- Detect · ฝ่ายรับดูว่า log/EDR/SIEM จับได้มั้ย ทันมั้ย
- Tune · ถ้าไม่จับ · เพิ่ม logging / เขียน Sigma rule ใหม่ / ปรับ EDR policy
- Repeat · กลับไปข้อ 2 จนกว่าจะ “ติดกับดัก” ทุกครั้ง
★ Pyramid of Pain & Threat-Informed Defense
ยิ่งเราทำให้ผู้โจมตีต้องเปลี่ยน “พฤติกรรม/TTP” (ยอดพีระมิด) ไม่ใช่แค่เปลี่ยน hash/IP (ฐานพีระมิด) ก็ยิ่งเจ็บ · Purple Team คือเครื่องมือที่ดีที่สุดในการดันการป้องกันขึ้นไปบนยอดพีระมิดนั้น แนวคิดนี้รวมอยู่ในคำว่า Threat-Informed Defense
ภาคปฏิบัติ (Practice section)
IMPORTANTชายชราโบกมือ ผนังหินเลื่อนออกเผยให้เห็น “ห้องฝึกคู่” · ด้านหนึ่งเป็นโต๊ะของฝ่ายรุก อีกด้านเป็นแผงคริสตัลของฝ่ายรับ และตรงกลางมีกระจกบานใหญ่ที่สะท้อนทั้งสองด้านพร้อมกัน “ฝึกที่นี่” เขากล่าว “ยิงจากด้านหนึ่ง แล้วเดินไปดูอีกด้านว่าเห็นอะไรบ้าง · นั่นแหละคือ Purple”
เครื่องมือสาย Purple/Adversary Emulation ที่ควรลองเล่น:
| เครื่องมือ | ใช้ทำอะไร |
|---|---|
| Atomic Red Team | ชุดเทสต์เล็ก ๆ ผูกกับ ATT&CK รายเทคนิค · ยิงทีละอันแล้วดูว่า detect ได้มั้ย |
| MITRE Caldera | ระบบ adversary emulation อัตโนมัติ (วาง chain การโจมตีเองได้) |
| VECTR | ใช้ track ผลของ purple team exercise (เทคนิคไหน detect ได้/ไม่ได้) |
| Splunk Attack Range / DetectionLab | ปั้นแลบ Windows AD + SIEM + EDR ขึ้นมาฝึกได้เลย |
| Sigma + Sigma HQ rules | เขียน/อ่าน detection rule แล้วทดสอบกับสิ่งที่ยิงไป |
| ATT&CK Navigator | ทำ coverage heatmap |
| Prelude Operator | อีกตัวสาย adversary emulation ที่ใช้ฟรีได้ |
แลบ/แพลตฟอร์มฝึก: TryHackMe (สาย Red Team + เอาความรู้ Blue จาก Level II มาสวมมุมมอง), HackTheBox (Pro Labs · สภาพแวดล้อม AD เต็มรูปแบบ), CyberDefenders (ฝั่งรับ), และที่สำคัญที่สุด · ลงแข่งจริง ทั้งสาย Jeopardy และ Attack & Defense
Cert ที่ต่อยอดจากนี้ได้ (ถ้าอยากเก็บ): สาย Red · CRTO, OffSec OSEP/OSWE/OSED; สาย Blue/Detection · GCDA, GDAT, CySA+; สาย Purple โดยตรงก็มี CPTC, PNPT/PSAA แนว ๆ การทำ engagement
TIPของจริงที่ผมแนะนำที่สุด: ลงแข่ง CTF แล้วเขียน write-up ทุกครั้ง · และพยายามอธิบายทั้งมุม “โจมตียังไง” และมุม “ถ้าเป็นฝ่ายรับจะจับยังไง” การฝึกคิดสองด้านพร้อมกันคือสิ่งที่แยก “คนเล่น CTF” ออกจาก “CTF Master” ครับ ลองดูตัวอย่างใน หมวด Write-up ของผมได้
บทสรุปของการเดินทาง · You are now a CTF Master
IMPORTANTเมื่อเจ้าออกมาจากห้องฝึกคู่ คริสตัลทั้งสามสี · แดง, ฟ้า, ม่วง · ลอยขึ้นมารวมกันเหนือฝ่ามือเจ้า เป็นแสงสีขาวสว่างจ้า ชายชราคำนับเล็กน้อย “เจ้าไม่ใช่นักเรียนใหม่อีกต่อไปแล้ว · เจ้ามองเห็นทั้งการโจมตีและการป้องกัน เจ้ารู้ว่าจะเข้าไปได้อย่างไร และรู้ว่าจะถูกจับได้อย่างไร นั่นคือสิ่งที่เราเรียกว่า CTF Master ทีนี้… ปราสาทแห่งนี้ไม่มีอะไรจะสอนเจ้าอีกแล้ว สนามจริงรอเจ้าอยู่ จงไป · แล้วกลับมาเล่าให้คนรุ่นต่อไปฟังด้วย”
เจ้าก้าวออกไปบนสะพานเวทมนตร์อีกครั้ง · แต่คราวนี้ เจ้าไม่ได้มองขึ้นไปยังยอดปราสาทด้วยความกังวลแล้ว เจ้ามองลงไปยังโลกเบื้องล่าง… ที่ซึ่งสนามแข่งจริงนับไม่ถ้วนกำลังรอผู้เล่นคนใหม่อยู่
จบแล้วครับสำหรับซีรีย์ Road to CTF Master ทั้งสามภาค · Level I (เข้าวงการ + roadmap), Level II (Blue Team), Level III (Purple Team) สิ่งที่ผมอยากฝากไว้:
- ลงสนามจริง · อ่านอย่างเดียวไม่พอ ไปแข่ง CTF จริง ๆ ดูรายการที่ผมเคยลงได้ใน Archive
- เขียน write-up ทุกครั้ง · มันคือการเรียนรู้ที่ดีที่สุด และเป็นพอร์ตที่ดีที่สุด
- เก่งทั้งรุกและรับ · Purple mindset ทำให้เราโตเร็วกว่า
- แล้วก็แบ่งปันต่อ · เพราะนี่แหละคือสิ่งที่ทำให้วงการโตขึ้น
ขอบคุณทุกคนที่อ่านจนจบทั้งซีรีย์ครับ เจอกันในสนามนะครับ ⚔◆
Buy me a Beer 35฿ · ขอบคุณที่ติดตามซีรีย์นี้จนจบครับ
IMPORTANTIn the final hall of the castle, the old man sets three glowing potion bottles down on the stone pedestal: red, blue, and purple. “It is time to choose one before the game begins. But remember, the power inside each bottle is more than it seems.”
As you grasp the red bottle, warmth and excitement spread through your body. You know at once you can breach any security system. The power of Red Team flows into your mind, giving you the skill to find vulnerabilities and plan offensive operations with precision.
If you take the blue bottle, a cool light wraps around you. You feel like you can watch everything around you with razor focus. Every movement, every command in the cyber world slows down. You are the watcher, the protector. Drinking this makes you a defender of Blue Team, able to predict attacks and respond with skill unmatched.
If you take the purple bottle, a balance between the two forms inside you. Offense and defense surge together, like you can wield attack and defense at the same time. This is the power of Purple Team, a flawless blend of attacking and defending. This skill makes you the most cunning strategist in the cyber world.
…You reach out and grab the purple bottle.
Welcome everyone to Road to CTF Master Level III
Written by me, Ar3mus
If Level I was the door into the CTF world, and Level II was the art of defense (Blue Team), then Level III is the final chapter: Purple Team, fusing offense and defense into one. This is the mindset that makes us better at both sides, and the core of becoming a true CTF Master.
NOTEAnything in
:::importantblocks is fictional narrative I wrote to carry the series. The actual content sits outside those callouts.
WARNINGSame disclaimer, the storytelling is role-play. We are not real wizards ☠ (but if you can cast a real spell, please let me know, 555).
Purple Team
IMPORTANTThe purple potion runs down your throat. Suddenly you see both sides at once. You see where intruders will come from, and you see where the watchers will catch them. The old man smiles. “This is not a third team. This is the bridge between the two. The one who makes attackers better because they know what defenders see, and makes defenders better because they know what attackers will do next.”
Purple Team is not a “third team.” It is a process where Red and Blue work together. The single goal: attackers simulate the attack, defenders see if they can detect or stop it, if not, adjust, then try again, repeat until the system actually sees and resists more.
The short Purple Team slogan: “Attack to defend, defend to attack.”
If you understand this lens, when you do CTF challenges you will:
- Red/Pwn/Web side · think “if I attack like this, what traces will I leave?” · find cleaner bypasses
- Blue/Forensics side · think “what is the attacker’s next move?” · build timelines faster, see which artifact matters
- Misc/A&D side · in Attack & Defense challenges you are Purple Team by definition: patch your own service while attacking others
Theory section
★ MITRE ATT&CK · the shared map of both sides
The heart of Purple Team is that everyone speaks the same language: MITRE ATT&CK. Tactic (the why) and Technique (the how). Attackers plan to it, defenders write detections to it, then use the ATT&CK Navigator to heatmap which techniques you can and cannot detect. The red cells on the map are next round’s homework.
★ Adversary Emulation vs Simulation
- Emulation · exact mimic of one APT group (using their real TTPs) to test if you can handle a real adversary
- Simulation / BAS (Breach & Attack Simulation) · automated firing of many techniques broadly, to measure coverage
★ Red-Team-driven Detection Engineering
The classic Purple Team loop:
- Plan · pick a Technique from ATT&CK to test
- Emulate · attackers fire that technique in real environment / lab
- Detect · defenders check if log/EDR/SIEM caught it, and how fast
- Tune · if not caught, add logging / write a new Sigma rule / tune EDR policy
- Repeat · back to step 2 until the trap fires every time
★ Pyramid of Pain & Threat-Informed Defense
The more you force attackers to change their behavior/TTPs (top of the pyramid) rather than just hash/IP (bottom), the more it hurts them. Purple Team is the best tool to push your defense up that pyramid. This concept is captured in the term Threat-Informed Defense.
Practice section
IMPORTANTThe old man waves his hand. The stone wall slides open to reveal a “twin training chamber.” One side is the attacker’s desk, the other is the defender’s crystal panel, and in the middle is a great mirror that reflects both at once. “Train here,” he says. “Fire from one side, then walk over and see what the other side sees. That is Purple.”
Purple / Adversary Emulation tools worth trying:
| Tool | Used for |
|---|---|
| Atomic Red Team | small tests mapped to ATT&CK techniques · fire one at a time and see if it gets detected |
| MITRE Caldera | automated adversary emulation system (chain attacks yourself) |
| VECTR | track purple team exercise results (which techniques are detected / missed) |
| Splunk Attack Range / DetectionLab | spin up a Windows AD + SIEM + EDR lab for practice |
| Sigma + Sigma HQ rules | write / read detection rules, test against your fired technique |
| ATT&CK Navigator | build coverage heatmaps |
| Prelude Operator | another adversary-emulation platform, free tier available |
Labs / training platforms: TryHackMe (Red Team paths plus the Blue knowledge from Level II layered on), HackTheBox (Pro Labs · full AD environments), CyberDefenders (defense side), and most importantly: join real competitions, both Jeopardy and Attack & Defense.
Follow-up certs (if you want to collect): Red side · CRTO, OffSec OSEP/OSWE/OSED; Blue/Detection · GCDA, GDAT, CySA+; Purple direct · CPTC, PNPT/PSAA, engagement-style certs.
TIPMy top real-world advice: enter CTFs and write up every one. Explain both “how I attacked” and “how a defender would catch it.” Practicing both lenses at once is what separates the casual CTF player from the CTF Master. See examples in my Write-up section.
Journey conclusion · You are now a CTF Master
IMPORTANTAs you step out of the twin training chamber, three crystals (red, blue, purple) float up and merge above your palm into a brilliant white light. The old man bows slightly. “You are no longer a new student. You see both attack and defense. You know how to get in, and you know how to get caught. That is what we call a CTF Master. Now… this castle has nothing left to teach you. The real field is waiting. Go. And come back to tell the next generation.”
You step onto the magic bridge again. But this time, you no longer look up at the castle peak with worry. You look down at the world below… where countless real arenas wait for a new player.
That wraps up the Road to CTF Master series, all three parts: Level I (entering the scene + roadmap), Level II (Blue Team), Level III (Purple Team). What I want to leave you with:
- Compete for real · reading alone is not enough, join real CTFs. See ones I have entered in Archive
- Write up every time · it is the best learning tool, and the best portfolio
- Be strong on both sides · the Purple mindset grows you faster
- Then share it forward · because that is what grows the scene
Thank you everyone for reading the whole series. See you on the field ⚔◆
Buy me a Beer 35฿ · thanks for following the series to the end