Windows 2012 R2-MD5ハッシュを使用してファイルを検索しますか?

11

私の組織は最近、電子メールを介して一部のユーザーに送信されるマルウェアを発見しました。このマルウェアは、高度な標的型攻撃で電子メールセキュリティを通過することができました。ファイルの名前はユーザーごとに異なりますが、マルウェアファイル間で一般的なMD5ハッシュのリストを収集しました。

暗闇の中でただのショット-PowerShell ....またはその他の方法で、ファイル名、拡張子などではなく、MD5ハッシュに基づいてファイルを見つける方法があるかどうか疑問に思っていました。データセンターのほとんどのサーバーにWindows 2012 R2を使用しています。

windows  malware  search  hash  md5 
ブランドンウェッター
ソース
ただし、プライマリネットワークからサーバーを取り外した後にこれを実行します-結局のところ、アクティブなマルウェアは悪いです。
トーマスウォード
妥協しました。確実に確認する唯一の方法は、マシンをヌークすることです。それらをきれいに削除するために必要なすべてのファイルを取得たことをどのように知っていますか?リスクに見合う価値はないと思います。
jpmc26

回答:

12

承知しました。ただし、おそらく次の例よりも便利なことをしたいと思うでしょう。

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }
ジャスコット
ソース
9 
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}
ライアン・リース
ソース
9

ファイルのコピーがある場合は、ドメイン全体でAppLockerをアクティブにし、そのファイルの実行を停止するハッシュルールを追加する必要があります。AppLockerはデフォルトでブロックおよび拒否アクションをログに記録するため、プログラムを実行しようとしているコンピューターを識別するというボーナスが追加されます。

長い首
ソース
1
これは間違いなく本当の答えです。
jscott
とにかく、企業環境ではapplockerをオンにする必要があります。
ジムB
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.