Windows 2012 R2 - Rechercher des fichiers à l'aide de MD5 Hash?

Mon organisation a récemment découvert des logiciels malveillants envoyés à certains utilisateurs par e-mail qui ont réussi à contourner notre sécurité de messagerie dans une attaque sophistiquée et ciblée. Les noms des fichiers varient d'un utilisateur à l'autre, mais nous avons collecté une liste des hachages MD5 courants parmi les fichiers malveillants.

Juste un coup dans le noir - je me demandais s'il y avait un moyen de trouver des fichiers en fonction de leurs hachages MD5 plutôt que de leurs noms de fichiers, extensions, etc. via PowerShell .... ou toute autre méthode. Nous utilisons Windows 2012 R2 pour la plupart des serveurs de notre centre de données.

Sûr. Vous voudrez probablement faire quelque chose de plus utile que l'exemple suivant.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Si vous avez une copie du fichier, vous devez activer AppLocker sur l'ensemble du domaine et ajouter une règle de hachage pour ce fichier pour arrêter son exécution. Cela a l'avantage supplémentaire d'identifier les ordinateurs qui tentent d'exécuter le programme car les journaux AppLocker bloquent et refusent les actions par défaut.