HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - s NGUYỄN THỊ HÀ LÊ NGUYỄN THỊ HÀ LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN HỆ THỐNG THÔNG TIN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) 2020 – 2022 HÀ NỘI – NĂM 2022 HÀ NỘI - NĂM 2022 e HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN THỊ HÀ LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : TS ĐỖ XUÂN CHỢ HÀ NỘI - NĂM 2022 e LỜI CAM ĐOAN Tôi cam đoan luận văn đề tài “Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre ATT&CK” công trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tác giả luận văn Nguyễn Thị Hà Lê e LỜI CẢM ƠN Trong suốt trình học tập hồn thiện luận văn tốt nghiệp, tơi nhận nhiều giúp đỡ, động viên từ thầy cơ, gia đình bạn bè Tơi xin chân thành cảm ơn giúp đỡ động viên Đầu tiên, xin bày tỏ cảm ơn đặc biệt tới TS Đỗ Xuân Chợ - người định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn tơi suốt q trình nghiên cứu hồn thiện luận văn tốt nghiệp Tiếp theo, xin gửi lời cảm ơn chân thành tới tất quý thầy giáo Học viện Cơng nghệ Bưu Viễn thơng giảng dạy dìu dắt tơi trong suốt q trình học tập trường Tơi xin gửi lời cảm ơn tới gia đình bạn bè - người bên cạnh động viên, ủng hộ tạo điều kiện cho tơi hồn thành khóa luận e MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT .v DANH MỤC CÁC BẢNG vi DANH MỤC CÁC HÌNH vii MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU VỀ HỆ ĐIỀU HÀNH VÀ PHƯƠNG PHÁP THU THẬP TIẾN TRÌNH .4 1.1 Tổng quan hệ điều hành 1.1.1 Khái niệm hệ điều hành 1.1.2 Các tính chất hệ điều hành 1.1.3 Các thành phần hệ điều hành 1.2 Hệ điều hành máy người dùng .6 1.2.1 Hệ điều hành Windows 1.2.2 Linux 1.2.3 MacOS 11 1.3 Một số phương pháp kỹ thuật thu thập tiến trình hệ điều hành 12 1.3.1 Một số phương pháp kỹ thuật thu thập tiến trình Windows .12 1.3.2 Một số phương pháp kỹ thuật thu thập tiến trình Linux 22 1.4 Một số mã độc lỗ hổng công hệ điều hành .26 1.4.1 Mã độc 26 1.4.2 Lỗ hổng bảo mật 27 Kết luận chương .28 CHƯƠNG 2: NGHIÊN CỨU VỀ MITRE ATT&CK 29 2.1 Tổng quan Mitre Att&ck 29 2.1.1 Giới thiệu Mitre .29 e 2.1.2 Định nghĩa Mitre ATT&CK .29 2.1.3 Thành phần MITRE ATT&CK .32 2.2 Cách xây dựng luật từ Mitre ATT&CK 35 2.2.1 Nguyên tắc xây dựng tập luật .35 2.1.2 Ví dụ số tập luật xây dựng từ Mitre ATT&CK 54 2.1.3 Phương pháp phát mã độc sử dụng Mitre ATT&CK 68 Kết luận chương .70 CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 71 3.1 Cài đặt công cụ thu thập tiến trình hệ điều hành Window 71 3.2 Cài đặt hệ thống quản lý tiến trình 73 3.2.1 Cài đặt cấu hình Elasticsearch 73 3.2.2 Cài đặt cấu hình Kibana 73 3.2.3 Cài đặt cấu hình Logstash .74 3.3 Một số kết thực nghiệm 75 3.3.1 Kịch thực nghiệm 75 3.3.2 Kịch thực nghiệm phát mã độc babuk 75 3.3.3 Kịch thực nghiệm phát mã độc Trickbot 80 3.3.4 Kịch thực nghiệm sử dụng teamview để gửi mã độc sang máy nạn nhân .84 Kết luận chương 85 KẾT LUẬN 86 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 87 e DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt EDR Endpoint detection & Response Hệ thống phát phản hồi mối nguy hại điểm cuối IPS Intrusion prevention system Hệ thống chống xâm nhập mạng CPU Central Processing Unit Bộ xử lý trung tâm DMA Direct memory access Truy cập nhớ trực tiếp ELF Executable and Linkable Format định dạng tập tin tiêu chuẩn PID Process ID Số nguyên xác định định danh tiến trình e DANH MỤC CÁC BẢNG Bảng 1.1: Thơng tin chi tiết tùy chọn cấu hình Sysmon 16 Bảng 1.2 Tham số cho lệnh top 25 Bảng 2.1: Các thành phần chiến thuật phá hoại .33 Bảng 2.2 Danh sách kiện thu từ công cụ Endpoint Security 37 Bảng 2.3 Bảng thu tổng hợp kết test .54 Bảng 2.4 Các mẫu hành vi bất thường ứng dụng cho sub-technique T1552.001: 55 Bảng 2.5 Những giải pháp cho T1552 58 Bảng 2.6 Các mẫu hành vi bất thường ứng dụng cho sub-technique T1112 59 Bảng 2.7 Các mẫu hành vi bất thường ứng dụng cho sub-technique T1057: 61 Bảng 2.8 Một số mẫu ứng dụng cho sub-technique T1518.001: .64 Bảng 3.1 Đặc điểm mã độc Babuk 76 Bảng 3.2 Đặc điểm mã độc Agent Tesla 78 Bảng 3.3 Thông tin khái quát mã độc Trickbot 80 e DANH MỤC CÁC HÌNH Hình 1.1 Các trạng thái tiến trình .8 Hình 1.2 Cấu trúc tiến trình Linux 10 Hình 1.3: Cấu trúc tập tin ELF 11 Hình 1.4: Giao diện cơng cụ Process Monitor .13 Hình 1.5: Một số thông tin thu thập từ Process Monitor 14 Hình 1.6: Thơng tin liệu nhật ký Sysmon thu thập 17 Hình 1.7: Thơng tin truy xuất tiến trình sử dụng cơng cụ Process Status 23 Hình 1.8: Một số thơng tin thu thập cơng cụ Top .24 Hình 2.1 Quy trình xây dựng luật dựa Mitre ATT&CK 35 Hình 2.2 Mơ tả kỹ thuật Service Execution(T1569.002) 36 Hình 2.3 Thơng tin kỹ thuật Windows Command Shell (T1059.003) 37 Hình 2.4 Các bước phát bất thường hành vi MITRE ATT&CK 69 Hình 3.1 Sử dụng WinSCP để chuyển tệp tin vào server 71 Hình 3.2 Cài đặt chứng cho Elastic Endpoint Security 72 Hình 3.3 Cài đặt chứng cho Elastic Endpoint Security 72 Hình 3.4 Thêm máy thành viên vào Fleet 73 Hình 3.6 Cây tiến trình mã độc Babuk sinh 77 Hình 3.7 Kiểm tra hành vi babuk2 any.run .77 Hình 3.8 Kiểm tra hành vi Agent Tesla any.run 78 Hình 3.9 Cảnh báo mã độc Agent Tesla từ hệ thống giám sát 79 Hình 3.10 Cây tiến trình mã độc Agent Tesla sinh 80 Hình 3.11 Kiểm tra hành vi mã độc trickbot any.run 81 Hình 3.12 Thơng tin cảnh báo mã độc Trickbot từ hệ thống giám sát 82 Hình 3.13 Liên kết hành vi mã độc Trickbot sinh 83 Hình 3.14 Gửi file sang máy nạn nhân teamview 84 Hình 3.15 thông tin cảnh báo từ hệ thống giám sát .84 e 10 e 74 Hình 3.4 Thêm máy thành viên vào Fleet 3.2 Cài đặt hệ thống quản lý tiến trình 3.2.1 Cài đặt cấu hình Elasticsearch Elasticsearch phụ thuộc vào Java Đưa lệnh sau để cài đặt phần phụ thuộc:sudo add-apt-repository ppa:webupd8team/java sudo apt-get update sudo apt-get install oracle-java8-installer -y Để cài đặt Elasticsearch, thực lệnh sau: wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.7.1.deb sudo dpkg -i elasticsearch-7.7.1.deb Mở tệp cấu hình Elasticsearch lệnh: sudo nano /etc/elasticsearch/elasticsearch.yml Cuối cùng, khởi động kích hoạt dịch vụ lệnh: sudo systemctl enable elasticsearch.service sudo systemctl start elasticsearch.service 3.2.2 Cài đặt cấu hình Kibana wget https://artifacts.elastic.co/downloads/kibana/kibana-7.7.1-amd64.deb e 75 sudo dpkg -i kibana-7.7.1-amd64.deb Cấu hình Kibana cách mở tệp cấu hình lệnh: sudo nano /etc/kibana/kibana.yml Tìm dịng sau: # server.host: "localhost" #asticsearch.url: "http: // localhost: 9200" Thay đổi dòng thành: server.host: "SERVER_IP" asticsearch.url: "http: // SERVER_IP: 9200" Trong SERVER_IP địa IP máy chủ lưu trữ Lưu đóng tệp Cuối cùng, đưa lệnh sau: sudo sysctl -w vm.max_map_count = 262144 Khởi động lại máy chủ Sau máy chủ khởi động lại, khởi động bật dịch vụ Kibana lệnh: sudo systemctl cho phép kibana.service sudo systemctl start kibana.service 3.2.3 Cài đặt cấu hình Logstash Logstash phương tiện để thêm liệu vào Elasticsearch Để cài đặt công cụ này, đưa lệnh: wget https://artifacts.elastic.co/downloads/logstash/logstash-6.3.2.deb sudo dpkg -i logstash-6.3.2.deb Mở tệp cấu hình Logstash lệnh: sudo nano /etc/logstash/logstash.yml Thay đổi dòng sau: # http.host: "127.0.0.1" Xóa ký tự # thay đổi địa IP IP máy chủ lưu trữ Lưu đóng tệp Khởi động kích hoạt dịch vụ Logstash lệnh: sudo systemctl kích hoạt logstash.service sudo systemctl start logstash.service e 76 Hình 3.5 Giao diện hệ thống quản lý liệu 3.3 Một số kết thực nghiệm 3.3.1 Kịch thực nghiệm Trong luận này, học viên sử dụng tập luật có sẵn Mitre attack Hiện có khoảng 676 tập luật xây dựng sở Mitre att&ck Các luật Elastic rules cập nhật thường xuyên dựa kết nối Elastic với cộng đồng xây dựng luật Đối với trình thử nghiệm, luận văn thực thử nghiệm mẫu mã độc khác bao gồm: babuk; Agent Tesla; Trickbot Ngoài học viên đề xuất thêm kịch phát bất thường máy người dùng người dùng mở kết nối teamview Tất kịch thử nghiệm so sánh đánh giá với kết thực nghiệm tiến hành phân tích mã độc sử dụng công cụ app.any.run 3.3.2 Kịch thực nghiệm phát mã độc babuk 3.3.2.1 Giới thiệu mã độc babuk Mã độc Babuk loại mã độc tống tiền Ransomwar Mã độc Babuk phát vào năm 2021, mục tiêu đánh cắp liệu công ty tống tiền họ Thơng tin chi tiết mã độc Babuk trình bày bảng 3.1 e 77 Bảng 3.1 Đặc điểm mã độc Babuk MD5 hash 64f7ac45f930fe0ae05f6a6102ddb511 SHA1 hash 499c21991aecc205fd9c64784909d94eb34a9a71 SHA256 hash 550771bbf8a3e5625d6ec76d70ed86f6e443f07ce80ff73e47f8249ddd72 a8cf SHA3-384 026caedb848533d18ff96e39d754d32083bbfcd13d404a0315a95e3462f hash d07c36bdaf0f5be09f03a02a2f632dafce8d5 Đặc điểm  Mã hóa ngoại tuyến  Dịng Delta Plus Ransomware  Ổ đĩa Phân vùng Khôi phục (M:\) + Phân vùng Hệ thống EFI (N:\) kích hoạt  Chặn thực thi quy trình (agntsvc.exe, dbsnmp.exe, ocssd.exe, oracle.exe, sql.exe, synctime.exe, v.v.)  Dừng nhiều dịch vụ (AcronisAgent, lưu, BackupExecDiveciMediaService, QBIDPService, sophos, veeam, v.v.)  Các kỹ thuật sử dụng Tắt khôi phục hệ thống (vssadmin.exe delete shadows /all /quiet) • T1409.2 • T1033 • T1547 3.3.2.2 Hệ thống phát cảnh báo Sau tiến hành thực nghiệm mã độc Babuk máy client hệ thống giám sát phát mã độc nhận thơng tin cảnh báo e 78 Hình 3.6 Cây tiến trình mã độc Babuk sinh Từ hình 3.6 thấy hành vi mã độc Babuk tương hệ thống thu nhận tương đối phù hợp với thống tin mã độc phân tích hệ thơng any.run Hình 3.7 thể kết mã độc Babuk tiến hành app.any.run Hình 3.7 Kiểm tra hành vi babuk2 any.run Kịch thực nghiệm phát mã độc Agent Tesla Agent Tesla chương trình độc hại phần virus trojan Mục đích Agent Tesla RAT để lấy cắp liệu người dùng Sự lây lan trojan thường xảy thông qua email spam cập nhật giả mạo e 79 Bảng 3.2 Đặc điểm mã độc Agent Tesla MD5 6d97e72cd0ea8cf000138c8bcef79466 SHA1 47d823ad5783a54c1a7820e4454e441cff919c27 SHA256 SHA3-384 Đặc điểm 1c864d62fbd05a062b156262c8ea5c7579a6c9207cc6121cebc859785d1 1fb9e 044f04bd12c0f90320b09a665d37fa65f546084abee1103ca89235a89ae9 560ea88fe31d8896be378d10566744bfbe25  SetunhandledExceptionFilter  Trích xuất mã thực thi - giải nén  Tải chức động Hình 3.8 Kiểm tra hành vi Agent Tesla any.run e 80 Hình 3.8 thể hành vi bất thường mã độc Agent Tesla thu nhận hệ thống any.run Tiếp theo, luận văn so sánh kết với hành vi ghi nhận hệ thống giám sát phân tích đánh giá Hình 3.9 thể số kết Hình 3.9 Cảnh báo mã độc Agent Tesla từ hệ thống giám sát Từ hình 3.9 thấy hệ thống phát phát mã độc Agent Tesla dựa kỹ thuật T1003 T1003 - Thực thi proxy từ tiện ích nhà phát triển uy tín: MSBuild Kẻ thù sử dụng MSBuild để thực thi proxy code thông qua tiện ích Windows đáng tin MSBuild.exe (Microsoft Build Engine) tảng xây dựng phần mềm Visual Studio sử dụng Nó xử lý tệp dự án có định dạng XML xác định yêu cầu để tải xây dựng tảng cấu hình khác Kẻ thù lạm dụng MSBuild để thực thi proxy mã độc Khả tác vụ nội tuyến MSBuild giới thiệu NET phiên cho phép chèn mã C # Visual Basic vào tệp dự án XML MSBuild biên dịch thực thi tác vụ nội tuyến MSBuild.exe tệp nhị phân Microsoft tin tưởng, sử dụng theo cách này, thực thi mã tùy ý bỏ qua biện pháp bảo vệ kiểm sốt ứng dụng cấu hình phép thực thi MSBuild.exe e 81 Một phiên MSBuild, Microsoft Build Engine, tải tệp DLL (thư viện liên kết động) chịu trách nhiệm quản lý thông tin đăng nhập Windows Kỹ thuật sử dụng để kết xuất thông tin xác thực Xác định MsBuild.exe tạo kết nối mạng Điều cho thấy hoạt động đối thủ MsBuild thường bị đối thủ tận dụng để thực thi mã tránh bị phát Hình 3.10 Cây tiến trình mã độc Agent Tesla sinh 3.3.3 Kịch thực nghiệm phát mã độc Trickbot Mã độc TrickBot trojan ngân hàng tiên tiến mà kẻ cơng sử dụng để đánh cắp thơng tin tốn từ nạn nhân Nó chuyển hướng nạn nhân đến trang ngân hàng giả truy xuất thông tin đăng nhập trang web Sau đó, sử dụng CMSTP.exe để vượt qua kiểm soát tài khoản người dùng thực lệnh tương tự thông qua giao diện auto-elevated COM Bảng 3.3 Thông tin khái quát mã độc Trickbot MD5 104b457b6d90fc80ff2dbbcebbb7ca8b hash SHA1 7842611837af04d7c986de21ab2454ed397014de hash SHA25 1c81272ffc28b29a82d8313bd74d1c6030c2af1ba4b165c44dc8ea6376679 e 82 hash d9f Đặc  Ghi vào nhớ tiến trình chạy khác điểm  Xử lý động API để tránh phát tĩnh  Ghi vào nhớ trình chạy từ tệp tạo sửa đổi  Sửa đổi luồng điều khiển quy trình chạy từ tệp tạo sửa đổi Hình 3.11 Kiểm tra hành vi mã độc trickbot any.run e 83 Hình 3.12 Thơng tin cảnh báo mã độc Trickbot từ hệ thống giám sát Từ hình 3.12 thấy mã độc Trickbo bị phát dựa T1548 - Cơ chế lạm dụng kiểm sốt quyền hạn Kẻ thù phá vỡ chế thiết kế để kiểm soát đặc quyền để nâng cao nhằm đạt quyền cao Hầu hết hệ thống đại chứa chế kiểm soát quyền hạn nguyên nhằm hạn chế đặc quyền mà người dùng thực máy Ủy quyền phải cấp cho người dùng cụ thể để thực tác vụ coi có rủi ro cao Kẻ thù thực số phương pháp để tận dụng chế kiểm sốt tích hợp nhằm nâng cao đặc quyền hệ thống Xác định nỗ lực bỏ qua Kiểm sốt tài khoản người dùng (UAC) thơng qua giao diện COM nâng cao ICMLuaUtil Những kẻ cơng cố gắng vượt qua UAC để lút thực thi mã với quyền cao e 84 Hình 3.13 Liên kết hành vi mã độc Trickbot sinh Hình 3.13 thể liên quan tiến trình, hành vi mà mã độc Trickbot sinh e 85 3.3.4 Kịch thực nghiệm sử dụng teamview để gửi mã độc sang máy nạn nhân Hình 3.14 Gửi file sang máy nạn nhân teamview Hình 3.15 thơng tin cảnh báo từ hệ thống giám sát Từ hình 3.15 nhận thấy hệ thống phát mã độc nhận thấy điểm bất thường máy người dùng Mặc dù hành vi mở kết nối để thực đưa mã độc vào máy tính người dùng chất hành vi chưa có nguy hiểm Tuy nhiên dựa định nghĩa T1219 Mitre att&ck hành vi định nghĩa bắt đầu tính cơng T1219 – Remote Access Software (phần mềm truy cập từ xa) e 86 Kẻ cơng sử dụng phần mềm hỗ trợ truy cập thiết bị từ xa hợp pháp, chẳng hạn Team Viewer, AnyDesk, v.v., để điều khiển lệnh cho máy nạn nhân thông qua mạng Các dịch vụ thường công ty sử dụng phần mềm hỗ trợ kỹ thuật khách hàng gặp cố phần mềm cần hỗ trợ Đặc biệt TeamView UltraView phổ biến Việt Nam Các phần mềm hỗ trợ có chức truyền file qua kênh giao tiếp mà không thông qua lọc nào, nên kẻ cơng lợi dụng để cài phần mềm độc hại chẳng hạn backdoor hay reverse backdoor khởi chạy để chiếm hoàn toàn quyền lệnh cho máy nạn nhân Các công cụ quản trị TeamViewer sử dụng số nhóm nhắm mục tiêu vào tổ chức quốc gia mà nhà nước Nga quan tâm chiến dịch tội phạm Kết luận chương - Mô tả chi tiết cách thức xây dựng cài đặt hệ thống thu thập liệu máy người dùng - Mô tả chi tiết cách thức xây dựng cài đặt hệ thống quản lý liệu máy người dùng - Thực kiểm thử hệ thống phát mã độc Kết kiểm thử cho thấy hệ thống phát xác dựa tập luật hành vi sủ dụng luật Mitre attack e 87 KẾT LUẬN Trong luận văn này, nghiên cứu thực số kết sau: - Nghiên cứu tìm hiểu số hệ điều hành máy tính người dùng - Tìm hiểu số phương pháp cơng cụ thu thập tiến trình máy người dùng - Xây dựng hệ thống thu thập, quản lý, lưu trữ liệu máy người dùng sử dụng công cụ Elastic endpoint security cơng cụ ELK - Trình bày phương pháp xây dựng cấu hình hệ thống thu thập phát tiến trình bất thường dựa Mitre attack - Thực nghiệm phát bất thường máy người dùng dựa Mitre attack - Tiến hành thực thực nghiệm đánh giá hệ thống phát tiến trình bất thường sử dụng tập luật xây dựng theo phương pháp Mitre attack e 88 DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng Anh [1] Alireza Souri, Rahil Hosseini, (2018), A state-of-the-art survey of malware detection approaches using data mining techniques, Vol 8, No pp 1-22 [2] Yanfang Ye, Tao Li, Donald Adjeroh, S Sitharama Iyengar, (2017), A survey on malware detection using data mining techniques, ACM Comput Surv 50, 3, Article 41 Website [1] https://www.malwarebytes.com/business/endpointdetectionresponse/ [2] https://linuxhint.com/auditd_linux_tutorial/ [3] https://attack.mitre.org/ [4] https://www.gartner.com/reviews/market/endpoint-detection-and-responsesolutions [5] https://www.trendmicro.com/en_us/business/products/user-protection/sps/ endpoint.html [6] https://www.crowdstrike.com/endpoint-security-products/falcon-insightendpoint-detection-response/ [7] https://www.sandboxie.com/ [8] https://www.kaspersky.com/enterprise-security/endpoint-detection-response-edr [9] https://app.any.run/ [10] https://github.com/Neo23x0/sigma/blob/master/tools/README.md [11] https://paloaltofirewalls.co.uk/palo-alto-traps-endpoint/ [12] https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon [13] https://www.carbonblack.com/products/edr/ e ... LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) ... phát mã độc sử dụng để huấn luyện đặc trưng hành vi mã độc cho việc xây dựng phát Vậy theo hướng nghiên cứu , chọn đề tài ? ?Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre. .. tìm phương pháp phát mã độc hiệu máy người dùng Tổng quan đề tài nghiên cứu Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng hạn chế Về vấn đề phát mã độc máy