Kỹ thuật redteam "thượng đẳng" - góc nhìn từ banker
Bài viết này là góc nhìn cá nhân của mình về các kỹ thuật redteam hiện đại, đặc biệt trong môi trường tài chính ngân hàng tại Việt Nam - nơi bảo mật đang ngày càng được chú trọng.
Hành trình từ pentester đến redteam
Ban đầu mình được tuyển vào đội pentester của ngân hàng, công việc chủ yếu là kiểm tra các hệ thống web, API và ứng dụng nội bộ theo các change golve của ban dự án yêu cầu. Dần dần, mình được tiếp xúc với mobile pentest, và cuối cùng là redteam.
Thay vì chỉ kiểm tra lỗi kỹ thuật, làm redteam mình phải xây dựng cả kịch bản tấn công: từ thu thập thông tin, tìm điểm yếu để xâm nhập ban đầu, leo thang đặc quyền, đến đạt được mục tiêu (thường là dữ liệu khách hàng hoặc hệ thống core banking) - tất cả mà không bị phát hiện.
Điều thú vị mình nhận ra là: các lỗ hổng kỹ thuật không phải lúc nào cũng là điểm yếu lớn nhất. Nhiều khi chỉ một email phishing tinh vi hoặc sự thiếu cảnh giác của nhân viên đã đủ để thâm nhập hệ thống.
Sự khác biệt giữa redteam và pentesting
Pentesting tại các ngân hàng thường được thực hiện định kỳ trên các hệ thống cụ thể như Internet Banking, Mobile Banking, hoặc API thanh toán. Mục tiêu là tìm kiếm lỗ hổng để vá trước khi triển khai hoặc trước các đợt audit của NHNN.
Redteam lại khác hoàn toàn. Nó là sự mô phỏng các chiến dịch tấn công có chủ đích, kéo dài từ vài tuần đến vài tháng, nhắm vào toàn bộ hệ sinh thái của ngân hàng. Mình không chỉ tìm lỗ hổng, mà còn kiểm tra khả năng phát hiện và phản ứng của tổ chức.
Trong khi pentester báo cáo "Hệ thống X có lỗ hổng SQLi", thì với vai trò redteam, ta phải chứng minh cả chuỗi tấn công: "Đã phishing được nhân viên A, chiếm quyền điều khiển máy tính, di chuyển đến máy chủ B, truy cập database C, và trích xuất thông tin thẻ tín dụng mà không bị phát hiện".
Vai trò researcher trong redteam ngân hàng
Một khía cạnh quan trọng của redteam mà ít người nhắc đến là vai trò researcher - những người chuyên nghiên cứu tìm kiếm các lỗ hổng 0day, 1day trong các sản phẩm đặc thù của ngành tài chính ngân hàng.
Trong môi trường ngân hàng Việt Nam, các researcher của redteam thường tập trung vào nghiên cứu các giải pháp chuyên biệt như hệ thống core (T24, Sharepoint, Exchange, Keycloak,...), các hệ thống thanh toán (Napas, K8s,...), hệ thống thẻ, và các giải pháp ATM/CDM từ các nhà cung cấp lớn.
Họ cũng dành nhiều thời gian phân tích ứng dụng mobile banking, tìm kiếm các lỗ hổng trong cơ chế xác thực, cách xử lý dữ liệu nhạy cảm, hoặc lỗi trong các thư viện được sử dụng. Việc khai thác lỗ hổng zero-day, đặc biệt trong các middleware hoặc phần mềm kết nối giữa các hệ thống khác nhau, thường là nơi bị bỏ qua trong các đợt đánh giá bảo mật thông thường.
Nhiều researcher còn thực hiện reverse engineering các thiết bị đặc thù như máy đọc thẻ, HSM (Hardware Security Module), thiết bị xác thực giao dịch để tìm lỗ hổng phần cứng hoặc firmware.
Thực tế cho thấy, nhiều lỗ hổng nghiêm trọng trong hệ thống ngân hàng được phát hiện thông qua công việc nghiên cứu này. Một researcher giỏi trong redteam không chỉ áp dụng các kỹ thuật tấn công đã biết mà còn phải liên tục tìm tòi, sáng tạo ra những vector tấn công mới phù hợp với môi trường đặc thù của ngành tài chính.
Chiến lược tấn công hiệu quả trong redteam
Initial Access - Cánh cửa vào ngân hàng
Trong môi trường tài chính, đặc biệt là ngân hàng, các lớp bảo vệ thường rất vững chắc. Tuy nhiên, qua nhiều lần tấn công cả internal và external, mình nhận ra rằng vẫn luôn tồn tại những điểm yếu.
Phishing có chủ đích là một trong những cách tiếp cận hiệu quả nhất. Mặc dù các ngân hàng thường xuyên tổ chức các chiến dịch phishing awareness, nhưng vẫn có những cách tiếp cận mà nhân viên thường không nhận ra. Chiến thuật tạo email giả mạo từ các đối tác quan trọng của ngân hàng (như các công ty thanh toán, đối tác fintech, hay từ cơ quan quản lý) thường mang lại hiệu quả đáng kinh ngạc.
Các chiến dịch phishing có chủ đích trong môi trường ngân hàng thường có tỷ lệ thành công từ 15-25%, bao gồm cả nhân viên CNTT và đôi khi là quản lý cấp cao. Điều này đặc biệt đáng lo ngại vì những người này thường có quyền truy cập vào nhiều hệ thống quan trọng. Hậu quả của một cuộc tấn công phishing thành công có thể là thảm khốc: từ đánh cắp thông tin đăng nhập, cài đặt malware, cho đến việc thiết lập quyền truy cập lâu dài vào mạng nội bộ của ngân hàng.
Việc khai thác chuỗi cung ứng cũng là một vector tấn công hiệu quả. Các ngân hàng Việt Nam phụ thuộc vào nhiều nhà cung cấp bên thứ ba, từ công ty phát triển ATM đến các giải pháp core banking, thường là các công ty nước ngoài với văn phòng đại diện tại Việt Nam.
Lỗ hổng trên các dịch vụ công khai như subdomain cũ, assets cho chương trình khuyến mãi, hoặc các notifications quảng cáo thường bị lãng quên sau chiến dịch marketing cũng là mục tiêu lý tưởng cho các cuộc tấn công.
Một đặc thù của ngân hàng Việt Nam là mạng lưới chi nhánh rộng lớn, từ thành thị đến nông thôn, với các cấp độ bảo mật khác nhau. Điều này tạo cơ hội cho các cuộc tấn công vật lý, nơi mình có thể giả dạng nhân viên bảo trì CNTT hoặc kỹ thuật viên sửa chữa để tiếp cận các khu vực hạn chế.
Evasion - Nghệ thuật tàng hình
Các ngân hàng Việt Nam đang nâng cao năng lực bảo mật với SOC và các giải pháp EDR, SIEM, nhưng vẫn có những phương pháp hiệu quả để né tránh các công cụ phát hiện này.
Kỹ thuật Living Off The Land - sử dụng các công cụ có sẵn trong hệ thống thay vì tải malware từ bên ngoài - rất hiệu quả trong môi trường doanh nghiệp. Tại ngân hàng, mỗi máy tính đều được cài đặt từ image chuẩn với các phần mềm doanh nghiệp: Microsoft Office, PowerShell (thường bị giới hạn), các công cụ quản trị nội bộ, và các ứng dụng ngân hàng chuyên dụng. Việc sử dụng chính các công cụ này để thực hiện các hành động độc hại mà không cần tải thêm phần mềm từ bên ngoài thường khó bị phát hiện.
Phương pháp Slow-and-Low - thực hiện các hoạt động từ từ, rải rác trong nhiều ngày thay vì tấn công ồ ạt - cũng rất hiệu quả. Môi trường ngân hàng thường dựa vào việc phát hiện hành vi bất thường dựa trên tần suất và số lượng. Thay vì quét cả mạng để tìm các máy tính dễ tấn công, mình thực hiện các hành động từ từ và rải rác trong nhiều ngày.
Lợi dụng thời gian bảo trì, khi giám sát thường lỏng lẻo hơn, là cơ hội tốt để thực hiện các hoạt động có độ rủi ro cao. Các ngân hàng Việt Nam thường có lịch bảo trì định kỳ vào đêm khuya hoặc cuối tuần, đây là thời điểm lý tưởng cho nhiều hoạt động đáng ngờ mà không bị phát hiện.
Sử dụng các kênh truyền thông được phê duyệt như email nội bộ hoặc các công cụ làm việc nhóm cũng là cách hiệu quả để ẩn các hoạt động độc hại. Mã hóa lệnh trong các kênh hợp lệ thường vượt qua được các hệ thống giám sát.
Lateral Movement và Privilege Escalation
Sau khi có quyền truy cập ban đầu, việc di chuyển ngang trong mạng và leo thang đặc quyền là những bước quan trọng tiếp theo. Các kỹ thuật C2 và di chuyển ngang hiệu quả trong môi trường ngân hàng Việt Nam thường tận dụng những đặc điểm như mạng phân mảnh, với các chi nhánh kết nối thẳng về hội sở. Hệ thống Active Directory thường có cấu hình lỏng lẻo, và nhiều máy chủ legacy vẫn hoạt động do yêu cầu tương thích với các hệ thống cũ.
Remote Service Execution qua DCOM là một phương tiện di chuyển ngang ít bị phát hiện hơn so với các phương pháp truyền thống như WMI hoặc PowerShell Remoting. DCOM thường ít bị giám sát hơn và nhiều khi được cho phép bởi firewall vì các ứng dụng doanh nghiệp cần nó để hoạt động.
Kerberos Delegation Attacks cũng rất hiệu quả trong môi trường ngân hàng, nơi Kerberos delegation thường được sử dụng để cho phép các dịch vụ hoạt động thay mặt người dùng. Tuy nhiên, cấu hình delegation không đúng cách có thể bị khai thác.
Trust Relationships giữa các domain con trong ngân hàng là mục tiêu tấn công lý tưởng. Kỹ thuật SID History Injection và Golden Ticket attacks có thể giúp di chuyển từ domain ít quan trọng (như domain training) đến domain quan trọng hơn (như domain chứa hệ thống core banking).
Data Exfiltration - Vận chuyển dữ liệu ra ngoài
Sau khi tiếp cận được dữ liệu có giá trị, thách thức cuối cùng là làm sao để đưa dữ liệu ra khỏi tổ chức mà không bị phát hiện. Các ngân hàng Việt Nam đang tăng cường giám sát dữ liệu ra vào, nhưng vẫn có những kỹ thuật hiệu quả để lấy dữ liệu ra khỏi hệ thống.
Sử dụng các kênh được phê duyệt như Office 365, One Drive, hoặc Teams không chỉ để điều khiển malware mà còn để exfiltrate dữ liệu. Traffic đến các dịch vụ này thường được cho phép và mã hóa SSL, nên dữ liệu có thể được lấy ra mà không bị phát hiện.
Fragmented Exfiltration - chia dữ liệu thành các phần nhỏ và gửi từ từ trong thời gian dài - cũng là phương pháp hiệu quả. Thay vì cố gắng gửi một lượng lớn dữ liệu cùng một lúc (điều này sẽ kích hoạt các cảnh báo), mình chia dữ liệu thành các phần nhỏ và gửi từ từ trong thời gian dài.
Bài học từ các chiến dịch redteam
Qua nhiều lần thực hiện redteam trong môi trường ngân hàng Việt Nam, mình rút ra được một số bài học quý giá. Yếu tố con người luôn là điểm yếu nhất trong hệ thống bảo mật. Dù có bao nhiêu lớp bảo mật kỹ thuật, nhân viên vẫn thường là mắt xích yếu nhất. Một email phishing tinh vi, một cuộc gọi social engineering, hay một thủ thuật tâm lý đơn giản vẫn thường mang lại hiệu quả cao hơn nhiều so với việc tìm kiếm lỗ hổng kỹ thuật phức tạp.
Các lỗi cấu hình thường nguy hiểm hơn lỗ hổng phần mềm. Quyền truy cập quá rộng, thiếu cập nhật bản vá, mật khẩu mặc định hay các dịch vụ không cần thiết được bật là những nguyên nhân phổ biến nhất dẫn đến xâm nhập thành công. Trong nhiều chiến dịch, mình nhận thấy rằng các ngân hàng thường tập trung vào việc tìm và vá các lỗ hổng zero-day mà bỏ qua những vấn đề cấu hình cơ bản.
Sự kiên nhẫn là chìa khóa trong các chiến dịch redteam. Khác với pentesting thường có thời gian ngắn và tập trung vào kết quả nhanh, redteam đòi hỏi sự kiên nhẫn cao độ. Mình thường dành nhiều ngày chỉ để quan sát, tìm hiểu môi trường, và đợi thời điểm thích hợp để hành động. Chiến thuật "low and slow" - tấn công chậm và ít gây tiếng động - thường mang lại hiệu quả cao hơn nhiều so với các nỗ lực xâm nhập nhanh chóng.
Một phát hiện đáng chú ý khác là các tổ chức thường không biết chính xác tài sản IT của họ. Asset inventory không đầy đủ, các máy chủ và ứng dụng bị quên lãng, các tài khoản dịch vụ không được quản lý đúng cách là vấn đề phổ biến trong hầu hết các ngân hàng. Điều này tạo ra nhiều "blind spots" - những điểm mù mà cả đội bảo mật lẫn các hệ thống giám sát đều không thể thấy được.
Xu hướng redteam trong ngân hàng Việt Nam
Hiện nay, một số xu hướng đang nổi lên trong lĩnh vực redteam tại các ngân hàng Việt Nam. Với sự bùng nổ của ngân hàng số, các ứng dụng mobile và hệ sinh thái fintech đang trở thành mục tiêu hàng đầu. Số lượng ứng dụng mobile banking tại Việt Nam tăng vọt trong những năm gần đây, kéo theo nhiều vấn đề bảo mật mới cần được kiểm tra kỹ lưỡng.
Hoạt động nghiên cứu chuyên sâu về các giải pháp đặc thù đang được coi trọng hơn. redteam hiện đại không thể thiếu những researcher chuyên nghiên cứu lỗ hổng trong các sản phẩm đặc thù như hệ thống thanh toán thẻ, core banking, các ứng dụng chuyên dụng cho ngân hàng. Đây là điểm khác biệt lớn so với pentest thông thường - không chỉ tìm lỗi mà còn phát triển các kỹ thuật tấn công mới phù hợp với môi trường đặc thù của ngành tài chính.
Mô hình Purple Team - sự kết hợp giữa redteam và BlueTeam - đang được áp dụng ngày càng nhiều. Thay vì làm việc độc lập, hai đội tấn công và phòng thủ hợp tác chặt chẽ, chia sẻ kiến thức và kỹ thuật để cùng nâng cao khả năng bảo mật của tổ chức. Phương pháp này giúp rút ngắn thời gian phát hiện và khắc phục lỗ hổng, đồng thời nâng cao kỹ năng cho cả hai đội.
Các ngân hàng Việt Nam cũng đang chú trọng hơn đến việc mô phỏng các APT (Advanced Persistent Threat) nhắm vào ngành tài chính trong khu vực. Các nhóm như Lazarus đã từng nhắm vào các ngân hàng Đông Nam Á, và khả năng phòng thủ trước những mối đe dọa này đang là ưu tiên hàng đầu.
Cuối cùng, xu hướng Compliance-driven redteam đang gia tăng khi Ngân hàng Nhà nước Việt Nam tăng cường các quy định về an toàn thông tin. Các yêu cầu tuân thủ mới đang thúc đẩy các ngân hàng thực hiện redteam thường xuyên hơn như một phần của khung quản trị rủi ro.
Thách thức của redteam hiện đại
Với sự phát triển không ngừng của công nghệ bảo mật, công việc redteam cũng đang đối mặt với nhiều thách thức mới. Các giải pháp EDR (Endpoint Detection and Response) hiện đại đang trở nên thông minh hơn, có khả năng phát hiện và ngăn chặn nhiều kỹ thuật tấn công truyền thống. Hệ thống SIEM (Security Information and Event Management) kết hợp với AI đang được triển khai rộng rãi, giúp phát hiện các hành vi bất thường một cách hiệu quả hơn.
Trong bối cảnh đó, redteam buộc phải liên tục đổi mới và phát triển các kỹ thuật tấn công mới. Vai trò của researcher trở nên quan trọng hơn bao giờ hết. Họ không chỉ áp dụng các phương pháp tấn công đã biết mà còn phải nghiên cứu, phát triển các vector tấn công mới, đặc biệt là những lỗ hổng zero-day trong các sản phẩm và giải pháp đặc thù của ngành tài chính.
Một thách thức khác là việc mô phỏng chính xác các nhóm APT (Advanced Persistent Threat) thực tế. Các nhóm như Lazarus, APT29 hay Carbanak thường có nguồn lực lớn, công cụ tùy chỉnh cao và phương pháp tấn công tinh vi. Để mô phỏng chính xác các mối đe dọa này, redteam cần phải hiểu rõ TTPs (Tactics, Techniques, and Procedures) của họ và có khả năng tái tạo các công cụ tương tự.
Trong tương lai, với sự phát triển của công nghệ AI, cả redteam và blueteam sẽ dần ứng dụng các công cụ tự động và thông minh hơn. Các cuộc tấn công sẽ được tự động hóa ở mức độ cao hơn, trong khi các hệ thống phòng thủ cũng sẽ thông minh hơn trong việc phát hiện và phản ứng với các mối đe dọa. Đây sẽ là cuộc đua công nghệ không ngừng nghỉ, nơi cả hai bên tấn công và phòng thủ đều liên tục nâng cao năng lực của mình.
Kết luận
Làm việc trong lĩnh vực redteam tại ngân hàng đã mang lại cho mình nhiều trải nghiệm quý báu và góc nhìn sâu sắc về bảo mật. Qua thời gian, mình nhận ra rằng redteam không chỉ là công việc tìm kiếm lỗ hổng, mà còn là nghệ thuật mô phỏng các mối đe dọa thực tế để giúp tổ chức chuẩn bị tốt hơn trước các cuộc tấn công.
Trong môi trường tài chính ngân hàng Việt Nam, nơi thông tin nhạy cảm và tiền bạc của khách hàng là tài sản quan trọng nhất cần bảo vệ, vai trò của redteam càng trở nên thiết yếu. Mỗi lỗ hổng được phát hiện, mỗi kịch bản tấn công được mô phỏng thành công đều góp phần vào việc xây dựng một hệ thống bảo mật vững chắc hơn.
Đối với những ai đang làm hoặc có ý định tham gia vào lĩnh vực này, mình muốn nhấn mạnh tầm quan trọng của việc không ngừng học hỏi và phát triển. Công nghệ luôn thay đổi, các phương pháp tấn công và phòng thủ cũng vậy. Chỉ bằng cách liên tục cập nhật kiến thức và kỹ năng, chúng ta mới có thể duy trì hiệu quả trong công việc này.
Cuối cùng, redteam không phải là về việc "hack" hay "phá hoại", mà là về việc giúp các tổ chức hiểu rõ hơn về những rủi ro mà họ đang đối mặt và chuẩn bị tốt hơn cho các tình huống thực tế. Đó chính là giá trị cốt lõi mà redteam mang lại: không phải là tìm ra lỗ hổng, mà là nâng cao khả năng phòng thủ và phản ứng của tổ chức trước các mối đe dọa an ninh mạng ngày càng tinh vi.
Trong bảo mật ngân hàng, không có hệ thống nào an toàn tuyệt đối. Vấn đề chỉ là liệu bạn có phát hiện kịp thời kẻ tấn công không, và researcher trong redteam luôn đóng vai trò quan trọng trong cuộc đua này. Họ không chỉ tìm kiếm lỗ hổng mà còn là những người tiên phong trong việc nâng cao nhận thức bảo mật cho toàn tổ chức.
P/S: Viết về kỹ thuật tấn công không có nghĩa là khuyến khích các hoạt động phi pháp. Tất cả kiến thức đều là con dao hai lưỡi, tùy thuộc vào người sử dụng.
