Windows 2012 R2 - Ricerca di file utilizzando Hash MD5?

La mia organizzazione ha recentemente scoperto malware che è stato inviato ad alcuni utenti via e-mail che è riuscito a superare la nostra sicurezza e-mail in un attacco sofisticato e mirato. I nomi dei file variano da utente a utente ma abbiamo raccolto un elenco degli hash MD5 comuni tra i file malware.

Solo uno scatto al buio - Mi chiedevo se c'è un modo per trovare file basati sui loro hash MD5 piuttosto che sui loro nomi file, estensioni, ecc. Tramite PowerShell .... o qualsiasi metodo. Stiamo utilizzando Windows 2012 R2 per la maggior parte dei server nel nostro data center.

Sicuro. Probabilmente vorrai fare qualcosa di più utile del seguente esempio.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Se si dispone di una copia del file, è necessario attivare AppLocker in tutto il dominio e aggiungere una regola hash per quel file per interromperne l'esecuzione. Questo ha il vantaggio aggiuntivo di identificare i computer che stanno tentando di eseguire il programma perché i registri di AppLocker bloccano e negano le azioni per impostazione predefinita.