최근에 조직에서 정교한 보안 공격을 통해 전자 메일 보안을 통과 한 전자 메일을 통해 일부 사용자에게 전송 된 맬웨어를 발견했습니다. 파일 이름은 사용자마다 다르지만 맬웨어 파일 중에서 일반적인 MD5 해시 목록을 수집했습니다.
어둠 속에서 한 번에-PowerShell …. 또는 다른 방법을 통해 파일 이름, 확장자 등이 아닌 MD5 해시를 기반으로 파일을 찾는 방법이 있는지 궁금합니다. 우리는 데이터 센터에있는 대부분의 서버에 Windows 2012 R2를 사용하고 있습니다.
답변
확실한. 그래도 다음 예제보다 더 유용한 것을 원할 것입니다.
$evilHashes = @(
'4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)
Get-ChildItem -Recurse -Path C:\somepath |
Get-FileHash |
Where-Object { $_.Hash -in $evilHashes }
답변
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'
Foreach ($File In Get-ChildItem C:\ -file -recurse)
{
If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
{
Write-Warning "Oh no, bad file detected: $($File.Fullname)"
}
}
답변
파일 사본이있는 경우 전체 도메인에서 AppLocker를 활성화하고 해당 파일의 해시 규칙을 추가하여 실행을 중지해야합니다. AppLocker 로그는 기본적으로 차단 및 작업을 거부하기 때문에 프로그램을 실행하려는 컴퓨터를 식별하는 추가 보너스가 있습니다.