Windows 2012 R2 - Tìm kiếm tệp bằng MD5 Hash?


11

Tổ chức của tôi gần đây đã phát hiện ra phần mềm độc hại được gửi đến một số người dùng thông qua email quản lý để vượt qua bảo mật email của chúng tôi trong một cuộc tấn công nhắm mục tiêu tinh vi. Tên của các tệp khác nhau tùy theo người dùng nhưng chúng tôi đã thu thập được một danh sách các băm MD5 phổ biến trong số các tệp phần mềm độc hại.

Chỉ là một cú đánh trong bóng tối - Tôi đã tự hỏi liệu có cách nào để tìm các tệp dựa trên băm MD5 thay vì tên tệp, phần mở rộng, v.v. thông qua PowerShell .... hoặc bất kỳ phương pháp nào. Chúng tôi đang sử dụng Windows 2012 R2 cho hầu hết các máy chủ trong trung tâm dữ liệu của chúng tôi.


Thực hiện việc này sau khi gỡ máy chủ khỏi mạng chính - phần mềm độc hại đang hoạt động rất tệ.
Thomas Ward

Bạn đã bị xâm phạm. Nuking các máy là cách duy nhất để chắc chắn. Làm thế nào để bạn biết bạn đã nhận được tất cả các tệp cần thiết để loại bỏ chúng một cách sạch sẽ? Tôi không nghĩ nó đáng để mạo hiểm.
jpmc26

Câu trả lời:


12

Chắc chắn rồi. Có lẽ bạn sẽ muốn làm một cái gì đó hữu ích hơn so với ví dụ sau đây.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

9

Nếu bạn có một bản sao của tệp, bạn nên kích hoạt AppLocker trên toàn bộ miền và thêm quy tắc băm cho tệp đó để dừng thực thi. Điều này có thêm phần thưởng khi xác định các máy tính đang cố chạy chương trình vì AppLocker ghi nhật ký chặn và từ chối các hành động theo mặc định.


1
Đây là, không có nghi ngờ gì, Câu trả lời thực sự.
jscott

applocker nên được dù sao, trong một môi trường doanh nghiệp.
Jim B
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.