Windows 2012 R2-MD5 해시를 사용하여 파일을 검색 하시겠습니까?


11

최근에 조직에서 정교한 보안 공격을 통해 전자 메일 보안을 통과 한 전자 메일을 통해 일부 사용자에게 전송 된 맬웨어를 발견했습니다. 파일 이름은 사용자마다 다르지만 맬웨어 파일 중에서 일반적인 MD5 해시 목록을 수집했습니다.

어둠 속에서 한 번에-PowerShell .... 또는 다른 방법을 통해 파일 이름, 확장자 등이 아닌 MD5 해시를 기반으로 파일을 찾는 방법이 있는지 궁금합니다. 우리는 데이터 센터에있는 대부분의 서버에 Windows 2012 R2를 사용하고 있습니다.


이 작업을 수행 한 후 활성 악성 코드가 결국 나쁜 -하지만 기본 네트워크 대에서 서버를 복용.
토마스 워드

당신은 타협했습니다. 머신을 청소하는 것이 유일한 방법입니다. 파일을 깨끗하게 제거하는 데 필요한 모든 파일을 얻었음을 어떻게 알 수 있습니까? 나는 그럴 가치가 있다고 생각하지 않습니다.
jpmc26

답변:


12

확실한. 그래도 다음 예제보다 더 유용한 것을 원할 것입니다.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

9
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

9

파일 사본이있는 경우 전체 도메인에서 AppLocker를 활성화하고 해당 파일의 해시 규칙을 추가하여 실행을 중지해야합니다. AppLocker 로그는 기본적으로 차단 및 작업을 거부하기 때문에 프로그램을 실행하려는 컴퓨터를 식별하는 추가 보너스가 있습니다.


1
이것은 의심의 여지없이 The Real Answer입니다.
jscott

어쨌든 applocker는 엔터프라이즈 환경에서 있어야합니다.
Jim B
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.