विंडोज 2012 आर 2 - एमडी 5 हैश का उपयोग करके फाइलों की खोज करें?

मेरे संगठन ने हाल ही में मैलवेयर की खोज की थी जो कुछ उपयोगकर्ताओं को ईमेल के माध्यम से भेजा गया था जो एक परिष्कृत, लक्षित हमले में हमारी ईमेल सुरक्षा को प्राप्त करने में कामयाब रहे। फ़ाइलों के नाम उपयोगकर्ता से उपयोगकर्ता में भिन्न होते हैं लेकिन हमने मालवेयर फ़ाइलों के बीच सामान्य MD5 हैश की सूची एकत्र की है।

बस अंधेरे में एक शॉट - मुझे आश्चर्य हो रहा था कि क्या पावरस्ले .... या किसी भी विधि के माध्यम से उनके फाइल के नाम, एक्सटेंशन आदि के बजाय उनके एमडी 5 हैश पर आधारित फाइलों को खोजने का एक तरीका है। हम अपने डेटा सेंटर के अधिकांश सर्वरों के लिए Windows 2012 R2 का उपयोग कर रहे हैं।

ज़रूर। आप शायद निम्नलिखित उदाहरण की तुलना में कुछ अधिक उपयोगी करना चाहते हैं।

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

यदि आपके पास फ़ाइल की एक प्रति है, तो आपको पूरे डोमेन में AppLocker को सक्रिय करना चाहिए और उस फ़ाइल को अपने निष्पादन को रोकने के लिए हैश नियम जोड़ना चाहिए। इसमें उन कंप्यूटरों की पहचान करने का अतिरिक्त बोनस है जो प्रोग्राम को चलाने की कोशिश कर रहे हैं क्योंकि AppLocker डिफ़ॉल्ट रूप से ब्लॉक और कार्रवाई को लॉग करता है।