Windows 2012 R2 - Mencari File menggunakan MD5 Hash?

11

Organisasi saya baru-baru ini menemukan malware yang dikirim ke beberapa pengguna melalui email yang berhasil melewati keamanan email kami dalam serangan yang canggih dan tertarget. Nama-nama file bervariasi dari pengguna ke pengguna tetapi kami telah mengumpulkan daftar hash MD5 umum di antara file malware.

Hanya tembakan dalam gelap - Saya bertanya-tanya apakah ada cara untuk menemukan file berdasarkan hash MD5 mereka daripada nama file, ekstensi, dll melalui PowerShell .... atau metode apa pun. Kami menggunakan Windows 2012 R2 untuk sebagian besar server di pusat data kami.

Brandon Wetter
sumber
Lakukan ini setelah mengambil server dari jaringan utama - malware aktif ternyata buruk.
Thomas Ward
Anda telah dikompromikan. Nuking mesin adalah satu-satunya cara untuk memastikan. Bagaimana Anda tahu Anda mendapatkan semua file yang diperlukan untuk menghapusnya dengan bersih? Saya tidak berpikir itu sepadan dengan risikonya.
jpmc26

Jawaban:

12

Tentu. Anda mungkin ingin melakukan sesuatu yang lebih berguna daripada contoh berikut.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }
jscott
sumber
9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}
Ryan Ries
sumber
9

Jika Anda memiliki salinan file, Anda harus mengaktifkan AppLocker di seluruh domain dan menambahkan aturan hash untuk file itu untuk menghentikan pelaksanaannya. Ini memiliki bonus tambahan untuk mengidentifikasi komputer yang mencoba menjalankan program karena AppLocker mencatat dan memblokir tindakan secara default.

leher panjang
sumber
1
Ini, tanpa keraguan, Jawaban Nyata.
jscott
AppLocker harus tetap, di lingkungan perusahaan.
Jim B