Windows 2012 R2-MD5 해시를 사용하여 파일을 검색 하시겠습니까?

11

최근에 조직에서 정교한 보안 공격을 통해 전자 메일 보안을 통과 한 전자 메일을 통해 일부 사용자에게 전송 된 맬웨어를 발견했습니다. 파일 이름은 사용자마다 다르지만 맬웨어 파일 중에서 일반적인 MD5 해시 목록을 수집했습니다.

어둠 속에서 한 번에-PowerShell .... 또는 다른 방법을 통해 파일 이름, 확장자 등이 아닌 MD5 해시를 기반으로 파일을 찾는 방법이 있는지 궁금합니다. 우리는 데이터 센터에있는 대부분의 서버에 Windows 2012 R2를 사용하고 있습니다.

windows  malware  search  hash  md5 
브랜든 웨터
소스
이 작업을 수행 한 후 활성 악성 코드가 결국 나쁜 -하지만 기본 네트워크 대에서 서버를 복용.
토마스 워드
당신은 타협했습니다. 머신을 청소하는 것이 유일한 방법입니다. 파일을 깨끗하게 제거하는 데 필요한 모든 파일을 얻었음을 어떻게 알 수 있습니까? 나는 그럴 가치가 있다고 생각하지 않습니다.
jpmc26

답변:

12

확실한. 그래도 다음 예제보다 더 유용한 것을 원할 것입니다.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }
jscott
소스
9 
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}
라이언 리 이스
소스
9

파일 사본이있는 경우 전체 도메인에서 AppLocker를 활성화하고 해당 파일의 해시 규칙을 추가하여 실행을 중지해야합니다. AppLocker 로그는 기본적으로 차단 및 작업을 거부하기 때문에 프로그램을 실행하려는 컴퓨터를 식별하는 추가 보너스가 있습니다.

긴 목
소스
1
이것은 의심의 여지없이 The Real Answer입니다.
jscott
어쨌든 applocker는 엔터프라이즈 환경에서 있어야합니다.
Jim B
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.