Windows 2012 R2 - Procurar arquivos usando o MD5 Hash?

Recentemente, minha organização descobriu malware enviado a alguns usuários por email que conseguiu ultrapassar a segurança de email em um ataque sofisticado e direcionado. Os nomes dos arquivos variam de usuário para usuário, mas coletamos uma lista dos hashes MD5 comuns entre os arquivos de malware.

Apenas um tiro no escuro - eu queria saber se há uma maneira de encontrar arquivos com base em seus hashes MD5, em vez de nomes de arquivos, extensões, etc. via PowerShell .... ou qualquer outro método. Estamos usando o Windows 2012 R2 para a maioria dos servidores em nosso data center.

Certo. Você provavelmente desejará fazer algo mais útil do que o exemplo a seguir.

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Se você possui uma cópia do arquivo, deve ativar o AppLocker em todo o domínio e adicionar uma regra de hash para esse arquivo para interromper sua execução. Isso tem o bônus adicional de identificar computadores que estão tentando executar o programa porque os logs do AppLocker bloqueiam e negam ações por padrão.