Windows 2012 R2 - Wyszukaj pliki za pomocą skrótu MD5?

11

Moja organizacja niedawno odkryła złośliwe oprogramowanie, które zostało wysłane do niektórych użytkowników za pośrednictwem wiadomości e-mail, którym udało się ominąć nasze zabezpieczenia poczty e-mail w wyrafinowanym, ukierunkowanym ataku. Nazwy plików różnią się w zależności od użytkownika, ale zebraliśmy listę typowych skrótów MD5 wśród plików złośliwego oprogramowania.

Tylko strzał w ciemność - zastanawiałem się, czy istnieje sposób na znalezienie plików na podstawie ich skrótów MD5, a nie nazw plików, rozszerzeń itp. Za pomocą programu PowerShell .... lub innej metody. Używamy systemu Windows 2012 R2 do większości serwerów w naszym centrum danych.

Brandon Wetter
źródło
Zrób to jednak po zdjęciu serwera z sieci podstawowej - aktywne złośliwe oprogramowanie jest jednak złe.
Thomas Ward
Zostałeś zagrożony. Jedynym sposobem, aby się upewnić, jest nukanie maszyn. Skąd wiesz, że masz wszystkie pliki niezbędne do ich czystego usunięcia? Nie sądzę, że warto ryzykować.
jpmc26

Odpowiedzi:

12

Pewnie. Prawdopodobnie będziesz chciał zrobić coś bardziej przydatnego niż poniższy przykład.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }
jscott
źródło
9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}
Ryan Ries
źródło
9

Jeśli masz kopię pliku, należy aktywować funkcję AppLocker w całej domenie i dodać regułę mieszania dla tego pliku, aby zatrzymać jego wykonywanie. Ma to dodatkową zaletę identyfikacji komputerów, które próbują uruchomić program, ponieważ AppLocker domyślnie rejestruje blokowanie i odrzucanie działań.

długa szyja
źródło
1
To bez wątpienia Prawdziwa Odpowiedź.
jscott
applocker i tak powinien być włączony w środowisku korporacyjnym.
Jim B