Windows 2012 R2 - MD5 Hash kullanarak Dosya Ara?

Kuruluşum kısa süre önce, bazı kullanıcılara e-posta yoluyla gönderilen, karmaşık ve hedefli bir saldırıda e-posta güvenliğimizi aşmayı başaran kötü amaçlı yazılımlar keşfetti. Dosyaların adları kullanıcıdan kullanıcıya değişir, ancak kötü amaçlı yazılım dosyaları arasında yaygın MD5 karmalarının bir listesini topladık.

Sadece karanlıkta bir çekim - PowerShell .... veya herhangi bir yöntemle dosya adlarını, uzantılarını vb. Yerine MD5 karmalarına dayalı dosyaları bulmanın bir yolu olup olmadığını merak ediyordum. Veri merkezimizdeki çoğu sunucu için Windows 2012 R2 kullanıyoruz.

Elbette. Muhtemelen aşağıdaki örnekten daha yararlı bir şey yapmak isteyeceksiniz.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Dosyanın bir kopyasına sahipseniz, tüm etki alanı boyunca AppLocker'ı etkinleştirmeli ve bu dosyanın yürütülmesini durdurması için bir karma kural eklemelisiniz. Bu, AppLocker günlükleri varsayılan olarak engelleme ve eylemleri reddetme nedeniyle programı çalıştırmaya çalışan bilgisayarları tanımlama avantajına sahiptir.