Windows 2012 R2 - Rechercher des fichiers à l'aide de MD5 Hash?

11

Mon organisation a récemment découvert des logiciels malveillants envoyés à certains utilisateurs par e-mail qui ont réussi à contourner notre sécurité de messagerie dans une attaque sophistiquée et ciblée. Les noms des fichiers varient d'un utilisateur à l'autre, mais nous avons collecté une liste des hachages MD5 courants parmi les fichiers malveillants.

Juste un coup dans le noir - je me demandais s'il y avait un moyen de trouver des fichiers en fonction de leurs hachages MD5 plutôt que de leurs noms de fichiers, extensions, etc. via PowerShell .... ou toute autre méthode. Nous utilisons Windows 2012 R2 pour la plupart des serveurs de notre centre de données.

Brandon Wetter
la source
Faites-le après avoir retiré le serveur du réseau principal - les logiciels malveillants actifs sont mauvais après tout.
Thomas Ward
Vous avez été compromis. Nuking les machines est le seul moyen d'être sûr. Comment savez-vous que vous avez obtenu tous les fichiers nécessaires pour les supprimer proprement? Je ne pense pas que ça vaut le risque.
jpmc26

Réponses:

12

Sûr. Vous voudrez probablement faire quelque chose de plus utile que l'exemple suivant.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }
jscott
la source
9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}
Ryan Ries
la source
9

Si vous avez une copie du fichier, vous devez activer AppLocker sur l'ensemble du domaine et ajouter une règle de hachage pour ce fichier pour arrêter son exécution. Cela a l'avantage supplémentaire d'identifier les ordinateurs qui tentent d'exécuter le programme car les journaux AppLocker bloquent et refusent les actions par défaut.

long cou
la source
1
C'est, sans aucun doute, la vraie réponse.
jscott
l'applockeur doit être activé de toute façon, dans un environnement d'entreprise.
Jim B