An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Level to Counter In-The-Wild Malware Infections

Enquanto o bloqueio de exemplares de malware em nvel de endpoint essencial para o tratamento de ameaas recm-criadas, o controle de ameaas em larga escala s possvel atravs do bloqueio dos servios de rede utilizados por estas. Este estudo se prope a investigar como este tipo de bloqueio ocorre na prtica, visando identificar os problemas existentes e oportunidades de desenvolvimento. Para tanto, consideramos a anlise diria de milhares de exemplares de malware de duas bases de dados distintas (representativas de exemplares brasileiros e mundiais) e investigamos a prevalncia e a forma com que os servidores HTTP e DNS contatados pelos exemplares so tornados indisponveis. Ns identificamos que: (i) A indisponibilizao de servios para todos os exemplares ocorre de forma semelhante, com os exemplares brasileiros sendo primeiramente afetados; (ii) ameaas armazenadas em servidores de nuvem computacional so indisponibilizadas de modo diferente das ameaas armazenadas em servidores dedicados; (iii) o bloqueio da resoluo de nomes de domnio tem uma escalabilidade maior do que o bloqueio de trfego HTTP de modo individualizado; e (iv) ainda h um grande espao para desenvolvimentos futuros visto que a maior parte das ameaas no teve nenhum servio indisponibilizado durante o perodo de observao.

Anais do XX Simpsio Brasileiro de Segurana da Informao e de Sistemas Computacionais (SBSeg 2020)

Anais do XX Simpsio Brasileiro de Segurana da Informao e de Sistemas Computacionais (SBSeg 2020)

An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Level to Counter In-The-Wild Malware Infections Conference Paper