Windows 2012 R2 - пошук файлів за допомогою MD5 Hash?


11

Нещодавно моя організація виявила зловмисне програмне забезпечення, яке було надіслано деяким користувачам електронною поштою, яким вдалося подолати нашу безпеку електронної пошти при складній цілеспрямованій атаці. Назви файлів залежать від користувача до користувача, але ми зібрали список поширених хешів MD5 серед файлів шкідливих програм.

Лише знімок у темряві - мені було цікаво, чи є спосіб знайти файли на основі хешів MD5, а не назви їх файлів, розширення тощо за допомогою PowerShell .... або будь-яким способом. Ми використовуємо Windows 2012 R2 для більшості серверів нашого центру обробки даних.


Зробіть це після зняття сервера з первинної мережі - активне шкідливе програмне забезпечення все-таки погано.
Томас Уорд

Ви були піддані компрометації. Упевнитися в машинах - це єдиний спосіб бути впевненим. Як ви знаєте, що ви отримали всі файли, необхідні для їх чистого видалення? Я не думаю, що це варто ризикувати.
jpmc26

Відповіді:


12

Звичайно. Напевно, ви хочете зробити щось більш корисне, ніж наведений нижче приклад.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

9

Якщо у вас є копія файлу, вам слід активувати AppLocker у всьому домені та додати для нього файл хеш-правила, щоб зупинити його виконання. Це має додатковий бонус за ідентифікацію комп'ютерів, які намагаються запустити програму, тому що AppLocker блокує та заперечує дії за замовчуванням.


1
Це, без всяких сумнівів, справжній відповідь.
jscott

applocker має бути в будь-якому випадку, у корпоративному середовищі.
Джим Б
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.