Windows 2012 R2 - Mencari File menggunakan MD5 Hash?


11

Organisasi saya baru-baru ini menemukan malware yang dikirim ke beberapa pengguna melalui email yang berhasil melewati keamanan email kami dalam serangan yang canggih dan tertarget. Nama-nama file bervariasi dari pengguna ke pengguna tetapi kami telah mengumpulkan daftar hash MD5 umum di antara file malware.

Hanya tembakan dalam gelap - Saya bertanya-tanya apakah ada cara untuk menemukan file berdasarkan hash MD5 mereka daripada nama file, ekstensi, dll melalui PowerShell .... atau metode apa pun. Kami menggunakan Windows 2012 R2 untuk sebagian besar server di pusat data kami.


Lakukan ini setelah mengambil server dari jaringan utama - malware aktif ternyata buruk.
Thomas Ward

Anda telah dikompromikan. Nuking mesin adalah satu-satunya cara untuk memastikan. Bagaimana Anda tahu Anda mendapatkan semua file yang diperlukan untuk menghapusnya dengan bersih? Saya tidak berpikir itu sepadan dengan risikonya.
jpmc26

Jawaban:


12

Tentu. Anda mungkin ingin melakukan sesuatu yang lebih berguna daripada contoh berikut.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

9

Jika Anda memiliki salinan file, Anda harus mengaktifkan AppLocker di seluruh domain dan menambahkan aturan hash untuk file itu untuk menghentikan pelaksanaannya. Ini memiliki bonus tambahan untuk mengidentifikasi komputer yang mencoba menjalankan program karena AppLocker mencatat dan memblokir tindakan secara default.


1
Ini, tanpa keraguan, Jawaban Nyata.
jscott

AppLocker harus tetap, di lingkungan perusahaan.
Jim B
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.