An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Level to Counter In-The-Wild Malware Infections

Enquanto o bloqueio de exemplares de malware em nível de endpoint é essencial para o tratamento de ameaças recém-criadas, o controle de ameaças em larga escala só é possível através do bloqueio dos serviços de rede utilizados por estas. Este estudo se propõe a investigar como este tipo de bloqueio ocorre na prática, visando identificar os problemas existentes e oportunidades de desenvolvimento. Para tanto, consideramos a análise diária de milhares de exemplares de malware de duas bases de dados distintas (representativas de exemplares brasileiros e mundiais) e investigamos a prevalência e a forma com que os servidores HTTP e DNS contatados pelos exemplares são tornados indisponíveis. Nós identificamos que: (i) A indisponibilização de serviços para todos os exemplares ocorre de forma semelhante, com os exemplares brasileiros sendo primeiramente afetados; (ii) ameaças armazenadas em servidores de nuvem computacional são indisponibilizadas de modo diferente das ameaças armazenadas em servidores dedicados; (iii) o bloqueio da resolução de nomes de domínio tem uma escalabilidade maior do que o bloqueio de tráfego HTTP de modo individualizado; e (iv) ainda há um grande espaço para desenvolvimentos futuros visto que a maior parte das ameaças não teve nenhum serviço indisponibilizado durante o período de observação.