विंडोज 2012 आर 2 - एमडी 5 हैश का उपयोग करके फाइलों की खोज करें?


11

मेरे संगठन ने हाल ही में मैलवेयर की खोज की थी जो कुछ उपयोगकर्ताओं को ईमेल के माध्यम से भेजा गया था जो एक परिष्कृत, लक्षित हमले में हमारी ईमेल सुरक्षा को प्राप्त करने में कामयाब रहे। फ़ाइलों के नाम उपयोगकर्ता से उपयोगकर्ता में भिन्न होते हैं लेकिन हमने मालवेयर फ़ाइलों के बीच सामान्य MD5 हैश की सूची एकत्र की है।

बस अंधेरे में एक शॉट - मुझे आश्चर्य हो रहा था कि क्या पावरस्ले .... या किसी भी विधि के माध्यम से उनके फाइल के नाम, एक्सटेंशन आदि के बजाय उनके एमडी 5 हैश पर आधारित फाइलों को खोजने का एक तरीका है। हम अपने डेटा सेंटर के अधिकांश सर्वरों के लिए Windows 2012 R2 का उपयोग कर रहे हैं।


प्राथमिक नेटवर्क से सर्वर को हटाने के बाद ऐसा करें - सक्रिय मैलवेयर सभी के बाद खराब है।
थॉमस वार्ड २

आप समझौता कर चुके हैं। मशीनों को Nuking करना सुनिश्चित करने का एकमात्र तरीका है। आप कैसे जानते हैं कि आपने उन्हें साफ करने के लिए आवश्यक सभी फाइलें प्राप्त कर ली हैं? मुझे नहीं लगता कि यह जोखिम के लायक है।
jpmc26

जवाबों:


12

ज़रूर। आप शायद निम्नलिखित उदाहरण की तुलना में कुछ अधिक उपयोगी करना चाहते हैं।

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

9

यदि आपके पास फ़ाइल की एक प्रति है, तो आपको पूरे डोमेन में AppLocker को सक्रिय करना चाहिए और उस फ़ाइल को अपने निष्पादन को रोकने के लिए हैश नियम जोड़ना चाहिए। इसमें उन कंप्यूटरों की पहचान करने का अतिरिक्त बोनस है जो प्रोग्राम को चलाने की कोशिश कर रहे हैं क्योंकि AppLocker डिफ़ॉल्ट रूप से ब्लॉक और कार्रवाई को लॉग करता है।


1
यह बिना किसी संदेह के, द रियल आंसर है।
jscott

Applocker एक उद्यम वातावरण में, वैसे भी होना चाहिए।
जिम बी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.