Windows 2012 R2: ¿Buscar archivos con MD5 Hash?

Mi organización descubrió recientemente malware que se envió a algunos usuarios por correo electrónico que logró superar nuestra seguridad de correo electrónico en un ataque sofisticado y dirigido. Los nombres de los archivos varían de un usuario a otro, pero hemos recopilado una lista de los hashes MD5 comunes entre los archivos de malware.

Solo una foto en la oscuridad: me preguntaba si hay una manera de encontrar archivos basados ​​en sus hashes MD5 en lugar de sus nombres de archivo, extensiones, etc. a través de PowerShell ... o cualquier otro método. Estamos utilizando Windows 2012 R2 para la mayoría de los servidores en nuestro centro de datos.

Por supuesto. Sin embargo, es probable que desee hacer algo más útil que el siguiente ejemplo.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Si tiene una copia del archivo, debe activar AppLocker en todo el dominio y agregar una regla hash para que el archivo detenga su ejecución. Esto tiene la ventaja adicional de identificar las computadoras que intentan ejecutar el programa porque los registros de AppLocker bloquean y niegan acciones de forma predeterminada.