Tras la llegada de la nueva versión de la herramienta de ciberinteligencia REYES del CCN-CERT, AndalucíaCERT ha tenido que hacer cambios en su servicio.

Tras la llegada de la nueva versión de la herramienta de ciberinteligencia REYES del CCN-CERT (en su versión v4), desde AndalucíaCERT hemos tenido que realizar algunos cambios en nuestro servicio de compartición de información sobre amenazas para poder seguir brindándoles la inteligencia de amenazas con la que cuenta el CCN-CERT. Les indicamos a continuación cuáles son esos cambios y en qué pueden afectarles:

1. Ya no se distribuyen nuevas reglas de detección SNORT de REYES. Por tanto, próximanente las reglas publicadas serán únicamente de fuentes públicas y de elaboración de AndalucíaCERT.
2. Existe un nuevo conjunto de listas negras de REYES (adaptadas a v4). Próximamente, desde AndalucíaCERT procederemos a dar de baja la publicación de listas negras correspondientes a la versión anterior de REYES (v3), que ahora se muestran únicamente por compatibilidad.
3. Se han generado un conjunto de listas negras RPZ pensadas para su uso en servidores DNS y se ha dado de alta en Red Corporativa el dominio sinkhole.junta-andalucia.es para redirigir peticiones maliciosas hacia el sinkhole interno que tenemos desplegado.

Response policy zone (RPZ), o cortafuegos DNS, permite a un resolvedor DNS modificar los registros DNS para aplicar una determinada política de respuesta a las peticiones de clientes que coincidan con una lista negra determinada, permitiendo bloquear el acceso a sitios maliciosos. Más información:

https://en.wikipedia.org/wiki/Response_policy_zone

Aprovechando la ocasión nos gustaría recomendarles encarecidamente que establezcan políticas de uso y configuración DNS en sus sistemas, siendo el escenario recomendado que se prohiba el uso de cualquier servicio DNS no corporativo (como las DNS de Google, Cloudflare, OpenDNS...). De igual forma, sus servidores DNS deberían depender jerárquicamente de los corporativos y no de algún servidor DNS externo.

En vista de los cambios introducidos, desde AndalucíaCERT les recomendamos revisar la implementación que realizaron de nuestras listas negras. Les recordamos que nuestra recomendación es que usen las listas negras agregadas que generamos:

• AndaluciaCERT agregado (IP): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-bl-aggregate_ip.txt
• AndaluciaCERT agregado (URL): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-bl-aggregate_url.txt
• AndaluciaCERT agregado (Domain): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-bl-aggregate_domain.txt
• AndaluciaCERT agregado (Sinkhole): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-sinkhole-aggregate_domain.txt
• AndaluciaCERT agregado (Hash): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-bl-aggregate_hash.txt
• AndaluciaCERT agregado (IP RPZ): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-bl-aggregate_ip.rpz
• AndaluciaCERT agregado (Domain RPZ): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-bl-aggregate_domain.rpz
• AndaluciaCERT agregado (Sinkhole RPZ): https://ioc.andcert.junta-andalucia.es/bl/andaluciacert-sinkhole-aggregate_domain.rpz

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.