Moja organizacja niedawno odkryła złośliwe oprogramowanie, które zostało wysłane do niektórych użytkowników za pośrednictwem wiadomości e-mail, którym udało się ominąć nasze zabezpieczenia poczty e-mail w wyrafinowanym, ukierunkowanym ataku. Nazwy plików różnią się w zależności od użytkownika, ale zebraliśmy listę typowych skrótów MD5 wśród plików złośliwego oprogramowania.
Tylko strzał w ciemność - zastanawiałem się, czy istnieje sposób na znalezienie plików na podstawie ich skrótów MD5, a nie nazw plików, rozszerzeń itp. Za pomocą programu PowerShell .... lub innej metody. Używamy systemu Windows 2012 R2 do większości serwerów w naszym centrum danych.
Odpowiedzi:
Pewnie. Prawdopodobnie będziesz chciał zrobić coś bardziej przydatnego niż poniższy przykład.
źródło
źródło
Jeśli masz kopię pliku, należy aktywować funkcję AppLocker w całej domenie i dodać regułę mieszania dla tego pliku, aby zatrzymać jego wykonywanie. Ma to dodatkową zaletę identyfikacji komputerów, które próbują uruchomić program, ponieważ AppLocker domyślnie rejestruje blokowanie i odrzucanie działań.
źródło