Windows 2012 R2 - ค้นหาไฟล์โดยใช้ MD5 Hash

เมื่อเร็ว ๆ นี้องค์กรของฉันค้นพบมัลแวร์ที่ส่งถึงผู้ใช้บางรายผ่านทางอีเมลที่จัดการเพื่อให้ผ่านการรักษาความปลอดภัยอีเมลของเราในการโจมตีที่ซับซ้อนและตรงเป้าหมาย ชื่อของไฟล์นั้นแตกต่างกันไปตามผู้ใช้แต่ละคน แต่เราได้ทำการรวบรวมรายการ MD5 แฮชทั่วไปในไฟล์มัลแวร์

แค่ยิงในที่มืด - ฉันสงสัยว่ามีวิธีการค้นหาไฟล์ตาม MD5 แฮชมากกว่าชื่อไฟล์นามสกุล ฯลฯ ผ่าน PowerShell .... หรือวิธีการใด ๆ เรากำลังใช้ Windows 2012 R2 สำหรับเซิร์ฟเวอร์ส่วนใหญ่ในดาต้าเซ็นเตอร์ของเรา

แน่ใจ คุณอาจต้องการทำสิ่งที่มีประโยชน์มากกว่าตัวอย่างต่อไปนี้

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

หากคุณมีสำเนาของไฟล์คุณควรเปิดใช้งาน AppLocker ทั่วทั้งโดเมนและเพิ่มกฎแฮชสำหรับไฟล์นั้นเพื่อหยุดการทำงาน นี่เป็นโบนัสเพิ่มเติมของการระบุคอมพิวเตอร์ที่พยายามเรียกใช้โปรแกรมเนื่องจาก AppLocker บันทึกการบล็อกและปฏิเสธการกระทำตามค่าเริ่มต้น