Windows 2012 R2 – Ricerca di file con MD5 Hash?

La mia organizzazione ha recentemente individuato un malware che è stato inviato a alcuni utenti tramite posta elettronica che è riuscito a superare la nostra sicurezza di posta elettronica in un sofisticato attacco mirato. I nomi dei file variano da utente a utente ma abbiamo raccolto un elenco dei comuni hash di MD5 tra i file malware.

Solo un colpo al buio – mi chiedevo se c'è un modo per trovare file in base ai loro hashi MD5 piuttosto che i nomi di file, le estensioni, ecc via PowerShell …. o qualsiasi metodo. Stiamo utilizzando Windows 2012 R2 per la maggior parte dei server nel nostro data center.

  • Arresto disconnetti quando si disconnette dalla session RDP
  • Rendimento del registro events di Windows
  • ID evento 6011 di Windows
  • Cosa c'è di sbagliato nell'uso del firewall di Windows?
  • Errore 812 quando si connette a VPN per ufficio
  • LDAP, Active Directory
  • md5sum riport ripetutamente diversi checksum per lo stesso file sulla stessa macchina
  • Che tipo di algorithm utilizza .htpasswd?
  • Il certificato SSL firmato SHA-2 cede apache all'avvio su CentOS 5.X
  • Php: Come abilitare il hashing di blowfish su un server debian
  • Cosa significa AAA nel esempio nginx di split_clients?
  • Come organizzare milioni di file statici per servire in modo efficiente sul web?
  • 3 Solutions collect form web for “Windows 2012 R2 – Ricerca di file con MD5 Hash?”

    Sicuro. Probabilmente vuoi fare qualcosa di più utile del seguente esempio.

    $evilHashes = @( '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0', 'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1' ) Get-ChildItem -Recurse -Path C:\somepath | Get-FileHash | Where-Object { $_.Hash -in $evilHashes } 
     [String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5' Foreach ($File In Get-ChildItem C:\ -file -recurse) { If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash) { Write-Warning "Oh no, bad file detected: $($File.Fullname)" } } 

    Se si dispone di una copia del file, è necessario triggersre AppLocker in tutto il dominio e aggiungere una regola di hash per quel file per arrestare l'esecuzione. Questo ha il bonus aggiunto di identificare i computer che tentano di eseguire il programma perché i blocchi di AppLocker bloccano e negano le azioni per impostazione predefinita.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.