Windows 2012 R2 - Tìm kiếm tệp bằng MD5 Hash?

Tổ chức của tôi gần đây đã phát hiện ra phần mềm độc hại được gửi đến một số người dùng thông qua email quản lý để vượt qua bảo mật email của chúng tôi trong một cuộc tấn công nhắm mục tiêu tinh vi. Tên của các tệp khác nhau tùy theo người dùng nhưng chúng tôi đã thu thập được một danh sách các băm MD5 phổ biến trong số các tệp phần mềm độc hại.

Chỉ là một cú đánh trong bóng tối - Tôi đã tự hỏi liệu có cách nào để tìm các tệp dựa trên băm MD5 thay vì tên tệp, phần mở rộng, v.v. thông qua PowerShell .... hoặc bất kỳ phương pháp nào. Chúng tôi đang sử dụng Windows 2012 R2 cho hầu hết các máy chủ trong trung tâm dữ liệu của chúng tôi.

Chắc chắn rồi. Có lẽ bạn sẽ muốn làm một cái gì đó hữu ích hơn so với ví dụ sau đây.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Nếu bạn có một bản sao của tệp, bạn nên kích hoạt AppLocker trên toàn bộ miền và thêm quy tắc băm cho tệp đó để dừng thực thi. Điều này có thêm phần thưởng khi xác định các máy tính đang cố chạy chương trình vì AppLocker ghi nhật ký chặn và từ chối các hành động theo mặc định.