Windows 2012 R2 - Mencari File menggunakan MD5 Hash?

Organisasi saya baru-baru ini menemukan malware yang dikirim ke beberapa pengguna melalui email yang berhasil melewati keamanan email kami dalam serangan yang canggih dan tertarget. Nama-nama file bervariasi dari pengguna ke pengguna tetapi kami telah mengumpulkan daftar hash MD5 umum di antara file malware.

Hanya tembakan dalam gelap - Saya bertanya-tanya apakah ada cara untuk menemukan file berdasarkan hash MD5 mereka daripada nama file, ekstensi, dll melalui PowerShell .... atau metode apa pun. Kami menggunakan Windows 2012 R2 untuk sebagian besar server di pusat data kami.

Tentu. Anda mungkin ingin melakukan sesuatu yang lebih berguna daripada contoh berikut.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Jika Anda memiliki salinan file, Anda harus mengaktifkan AppLocker di seluruh domain dan menambahkan aturan hash untuk file itu untuk menghentikan pelaksanaannya. Ini memiliki bonus tambahan untuk mengidentifikasi komputer yang mencoba menjalankan program karena AppLocker mencatat dan memblokir tindakan secara default.