Windows 2012 R2 - пошук файлів за допомогою MD5 Hash?

Нещодавно моя організація виявила зловмисне програмне забезпечення, яке було надіслано деяким користувачам електронною поштою, яким вдалося подолати нашу безпеку електронної пошти при складній цілеспрямованій атаці. Назви файлів залежать від користувача до користувача, але ми зібрали список поширених хешів MD5 серед файлів шкідливих програм.

Лише знімок у темряві - мені було цікаво, чи є спосіб знайти файли на основі хешів MD5, а не назви їх файлів, розширення тощо за допомогою PowerShell .... або будь-яким способом. Ми використовуємо Windows 2012 R2 для більшості серверів нашого центру обробки даних.

Звичайно. Напевно, ви хочете зробити щось більш корисне, ніж наведений нижче приклад.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Якщо у вас є копія файлу, вам слід активувати AppLocker у всьому домені та додати для нього файл хеш-правила, щоб зупинити його виконання. Це має додатковий бонус за ідентифікацію комп'ютерів, які намагаються запустити програму, тому що AppLocker блокує та заперечує дії за замовчуванням.