Windows 2012 R2 – Ricerca di file con MD5 Hash?

La mia organizzazione ha recentemente individuato un malware che è stato inviato a alcuni utenti tramite posta elettronica che è riuscito a superare la nostra sicurezza di posta elettronica in un sofisticato attacco mirato. I nomi dei file variano da utente a utente ma abbiamo raccolto un elenco dei comuni hash di MD5 tra i file malware.

Solo un colpo al buio – mi chiedevo se c'è un modo per trovare file in base ai loro hashi MD5 piuttosto che i nomi di file, le estensioni, ecc via PowerShell …. o qualsiasi metodo. Stiamo utilizzando Windows 2012 R2 per la maggior parte dei server nel nostro data center.

  • Equivalente Linux di Windows NLB
  • Installazione silenziosa di MSI
  • Individuare, trovare, quale - Come posso lanciare un command di indice / scansione per queste utilità?
  • Esegui due server Web separati su un unico VPS
  • Questo indirizzo IPv6-link locale (come riportto da Windows) è corretto? In caso affermativo, perché?
  • diverso da modificarlo manualmente, come è impostato MTU?
  • Che tipo di algorithm utilizza .htpasswd?
  • Come vengono generati gli hash in / etc / shadow?
  • Perché l'output di algorithm MacTripleDes non è stabile in PowerShell?
  • Come si fa a controllare l'identity framework; di file enormi se ha hashing legato alla CPU?
  • Procedura corretta per le modifiche di file RKHunter
  • Cosa significa AAA nel esempio nginx di split_clients?
  • 3 Solutions collect form web for “Windows 2012 R2 – Ricerca di file con MD5 Hash?”

    Sicuro. Probabilmente vuoi fare qualcosa di più utile del seguente esempio.

    $evilHashes = @( '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0', 'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1' ) Get-ChildItem -Recurse -Path C:\somepath | Get-FileHash | Where-Object { $_.Hash -in $evilHashes } 
     [String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5' Foreach ($File In Get-ChildItem C:\ -file -recurse) { If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash) { Write-Warning "Oh no, bad file detected: $($File.Fullname)" } } 

    Se si dispone di una copia del file, è necessario triggersre AppLocker in tutto il dominio e aggiungere una regola di hash per quel file per arrestare l'esecuzione. Questo ha il bonus aggiunto di identificare i computer che tentano di eseguire il programma perché i blocchi di AppLocker bloccano e negano le azioni per impostazione predefinita.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.