Windows 2012 R2 - Wyszukaj pliki za pomocą skrótu MD5?


11

Moja organizacja niedawno odkryła złośliwe oprogramowanie, które zostało wysłane do niektórych użytkowników za pośrednictwem wiadomości e-mail, którym udało się ominąć nasze zabezpieczenia poczty e-mail w wyrafinowanym, ukierunkowanym ataku. Nazwy plików różnią się w zależności od użytkownika, ale zebraliśmy listę typowych skrótów MD5 wśród plików złośliwego oprogramowania.

Tylko strzał w ciemność - zastanawiałem się, czy istnieje sposób na znalezienie plików na podstawie ich skrótów MD5, a nie nazw plików, rozszerzeń itp. Za pomocą programu PowerShell .... lub innej metody. Używamy systemu Windows 2012 R2 do większości serwerów w naszym centrum danych.


Zrób to jednak po zdjęciu serwera z sieci podstawowej - aktywne złośliwe oprogramowanie jest jednak złe.
Thomas Ward

Zostałeś zagrożony. Jedynym sposobem, aby się upewnić, jest nukanie maszyn. Skąd wiesz, że masz wszystkie pliki niezbędne do ich czystego usunięcia? Nie sądzę, że warto ryzykować.
jpmc26

Odpowiedzi:


12

Pewnie. Prawdopodobnie będziesz chciał zrobić coś bardziej przydatnego niż poniższy przykład.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

9

Jeśli masz kopię pliku, należy aktywować funkcję AppLocker w całej domenie i dodać regułę mieszania dla tego pliku, aby zatrzymać jego wykonywanie. Ma to dodatkową zaletę identyfikacji komputerów, które próbują uruchomić program, ponieważ AppLocker domyślnie rejestruje blokowanie i odrzucanie działań.


1
To bez wątpienia Prawdziwa Odpowiedź.
jscott

applocker i tak powinien być włączony w środowisku korporacyjnym.
Jim B
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.