Windows 2012 R2 - Wyszukaj pliki za pomocą skrótu MD5?

Moja organizacja niedawno odkryła złośliwe oprogramowanie, które zostało wysłane do niektórych użytkowników za pośrednictwem wiadomości e-mail, którym udało się ominąć nasze zabezpieczenia poczty e-mail w wyrafinowanym, ukierunkowanym ataku. Nazwy plików różnią się w zależności od użytkownika, ale zebraliśmy listę typowych skrótów MD5 wśród plików złośliwego oprogramowania.

Tylko strzał w ciemność - zastanawiałem się, czy istnieje sposób na znalezienie plików na podstawie ich skrótów MD5, a nie nazw plików, rozszerzeń itp. Za pomocą programu PowerShell .... lub innej metody. Używamy systemu Windows 2012 R2 do większości serwerów w naszym centrum danych.

Pewnie. Prawdopodobnie będziesz chciał zrobić coś bardziej przydatnego niż poniższy przykład.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Jeśli masz kopię pliku, należy aktywować funkcję AppLocker w całej domenie i dodać regułę mieszania dla tego pliku, aby zatrzymać jego wykonywanie. Ma to dodatkową zaletę identyfikacji komputerów, które próbują uruchomić program, ponieważ AppLocker domyślnie rejestruje blokowanie i odrzucanie działań.