Windows 2012 R2: ¿Buscar archivos con MD5 Hash?

11

Mi organización descubrió recientemente malware que se envió a algunos usuarios por correo electrónico que logró superar nuestra seguridad de correo electrónico en un ataque sofisticado y dirigido. Los nombres de los archivos varían de un usuario a otro, pero hemos recopilado una lista de los hashes MD5 comunes entre los archivos de malware.

Solo una foto en la oscuridad: me preguntaba si hay una manera de encontrar archivos basados ​​en sus hashes MD5 en lugar de sus nombres de archivo, extensiones, etc. a través de PowerShell ... o cualquier otro método. Estamos utilizando Windows 2012 R2 para la mayoría de los servidores en nuestro centro de datos.

Brandon Wetter
fuente
Sin embargo, haga esto después de sacar el servidor de la red primaria: el malware activo es malo después de todo.
Thomas Ward
Has sido comprometido. Nuking las máquinas es la única manera de estar seguro. ¿Cómo sabes que has obtenido todos los archivos necesarios para eliminarlos limpiamente? No creo que valga la pena el riesgo.
jpmc26

Respuestas:

12

Por supuesto. Sin embargo, es probable que desee hacer algo más útil que el siguiente ejemplo.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }
jscott
fuente
9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}
Ryan Ries
fuente
9

Si tiene una copia del archivo, debe activar AppLocker en todo el dominio y agregar una regla hash para que el archivo detenga su ejecución. Esto tiene la ventaja adicional de identificar las computadoras que intentan ejecutar el programa porque los registros de AppLocker bloquean y niegan acciones de forma predeterminada.

cuello largo
fuente
1
Esta es, sin duda, la verdadera respuesta.
jscott
applocker debería estar activado de todos modos, en un entorno empresarial.
Jim B