Windows 2012 R2 - Mit MD5-Hash nach Dateien suchen?

Meine Organisation hat kürzlich Malware entdeckt, die per E-Mail an einige Benutzer gesendet wurde und die es in einem ausgeklügelten, gezielten Angriff geschafft hat, unsere E-Mail-Sicherheit zu umgehen. Die Namen der Dateien variieren von Benutzer zu Benutzer, aber wir haben eine Liste der gängigen MD5-Hashes unter den Malware-Dateien zusammengestellt.

Nur ein Schuss in die Dunkelheit - ich habe mich gefragt, ob es eine Möglichkeit gibt, Dateien auf der Grundlage ihrer MD5-Hashes zu finden, anstatt ihre Dateinamen, Erweiterungen usw. über PowerShell .... oder eine andere Methode. Wir verwenden Windows 2012 R2 für die meisten Server in unserem Rechenzentrum.

Sicher. Wahrscheinlich möchten Sie etwas Nützlicheres tun als das folgende Beispiel.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Wenn Sie über eine Kopie der Datei verfügen, sollten Sie AppLocker in der gesamten Domäne aktivieren und eine Hashregel hinzufügen, damit diese Datei nicht mehr ausgeführt wird. Dies hat den zusätzlichen Vorteil, dass Computer identifiziert werden können, die versuchen, das Programm auszuführen, da AppLocker-Protokolle standardmäßig Aktionen blockieren und ablehnen.