Windows 2012 R2 - Ricerca di file utilizzando Hash MD5?


11

La mia organizzazione ha recentemente scoperto malware che è stato inviato ad alcuni utenti via e-mail che è riuscito a superare la nostra sicurezza e-mail in un attacco sofisticato e mirato. I nomi dei file variano da utente a utente ma abbiamo raccolto un elenco degli hash MD5 comuni tra i file malware.

Solo uno scatto al buio - Mi chiedevo se c'è un modo per trovare file basati sui loro hash MD5 piuttosto che sui loro nomi file, estensioni, ecc. Tramite PowerShell .... o qualsiasi metodo. Stiamo utilizzando Windows 2012 R2 per la maggior parte dei server nel nostro data center.


Fallo dopo aver rimosso il server dalla rete primaria, dopotutto il malware attivo è male.
Thomas Ward,

Sei stato compromesso. Nuking le macchine è l'unico modo per essere sicuri. Come fai a sapere di aver ottenuto tutti i file necessari per rimuoverli in modo pulito? Non credo valga la pena rischiare.
jpmc26,

Risposte:


12

Sicuro. Probabilmente vorrai fare qualcosa di più utile del seguente esempio.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

9

Se si dispone di una copia del file, è necessario attivare AppLocker in tutto il dominio e aggiungere una regola hash per quel file per interromperne l'esecuzione. Questo ha il vantaggio aggiuntivo di identificare i computer che stanno tentando di eseguire il programma perché i registri di AppLocker bloccano e negano le azioni per impostazione predefinita.


1
Questa è, senza dubbio, la vera risposta.
jscott,

AppLocker dovrebbe essere attivo, in un ambiente aziendale.
Jim B,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.