Windows 2012 R2 – Ricerca di file con MD5 Hash?

La mia organizzazione ha recentemente individuato un malware che è stato inviato a alcuni utenti tramite posta elettronica che è riuscito a superare la nostra sicurezza di posta elettronica in un sofisticato attacco mirato. I nomi dei file variano da utente a utente ma abbiamo raccolto un elenco dei comuni hash di MD5 tra i file malware.

Solo un colpo al buio – mi chiedevo se c'è un modo per trovare file in base ai loro hashi MD5 piuttosto che i nomi di file, le estensioni, ecc via PowerShell …. o qualsiasi metodo. Stiamo utilizzando Windows 2012 R2 per la maggior parte dei server nel nostro data center.

  • Come scoprire quale server ha generato una CSR
  • Autenticazione degli amministratori di block attemps dalle workstation
  • Che cosa è una maniglia di process?
  • Come è la replica di file system distribuita (DFSR) correlata al servizio di trasferimento intelligente di background (BITS)?
  • Verifica che un determinato utente abbia un privilegio dato
  • C'è un modo per ARP ping su Windows?
  • Come organizzare milioni di file statici per servire in modo efficiente sul web?
  • Generazione di una CSR SHA256 SSL su CentOS / RHEL utilizzando genkey
  • chiave ssh con impronta digitale
  • Abilita il supporto di hash basato su blowfish per la cripta
  • Il certificato SSL firmato SHA-2 cede apache all'avvio su CentOS 5.X
  • Hash per creare codici colore Hex dalla string (in bash)
  • 3 Solutions collect form web for “Windows 2012 R2 – Ricerca di file con MD5 Hash?”

    Sicuro. Probabilmente vuoi fare qualcosa di più utile del seguente esempio.

    $evilHashes = @( '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0', 'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1' ) Get-ChildItem -Recurse -Path C:\somepath | Get-FileHash | Where-Object { $_.Hash -in $evilHashes } 
     [String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5' Foreach ($File In Get-ChildItem C:\ -file -recurse) { If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash) { Write-Warning "Oh no, bad file detected: $($File.Fullname)" } } 

    Se si dispone di una copia del file, è necessario triggersre AppLocker in tutto il dominio e aggiungere una regola di hash per quel file per arrestare l'esecuzione. Questo ha il bonus aggiunto di identificare i computer che tentano di eseguire il programma perché i blocchi di AppLocker bloccano e negano le azioni per impostazione predefinita.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.