Identifique malware conhecido por hash (MD5) em toda a rede

Navegue suas respostas
0

Eu preciso criar uma solução que me permita enviar uma série de hashes MD5 e ser alertado se esses hashes forem encontrados em qualquer máquina (Windows) na rede. Estou aberto a soluções existentes (provavelmente preferidas).

Eu freqüentemente uso ferramentas como EnCase ou FTK em conjunto com hashes de arquivos para fazer várias coisas (identificar arquivos inválidos conhecidos, excluir arquivos bons conhecidos, etc.). No entanto, nenhuma dessas ferramentas é ideal para uma varredura de rede grande, embora haja alguma capacidade lá.

Por exemplo, seria ideal se o A / V, como o SEP, pudesse ser configurado para fazer isso. Ele já está instalado e já está lendo os arquivos, digitalizando ou outros eventos. Seja qual for a solução, parece que deve envolver um agente no destino da verificação. Não podemos puxar cada arquivo e misturá-lo. Isso deve acontecer no cliente apenas com os resultados relatados.

Qualquer ajuda é apreciada. Obrigado!

    
por Matt 15.04.2014 / 16:45

3 respostas

0

Talvez o projeto de código aberto md5deep possa ajudar você ( link ). Suporta o cálculo recursivo de vários digestões hash (incluindo MD5) de conteúdo dentro de um caminho. O programa também suporta a possibilidade de você fornecer uma lista (preta) de MD5s para correspondência.

Você precisa acessá-lo nas várias máquinas da rede e solucionar algumas soluções de comunicação entre as máquinas.

    
por 15.04.2014 / 23:26
0

Eu não conheço nenhuma solução automática que faça isso, mas aqui estão duas ideias do topo da minha cabeça:

  • O ClamAV é de código aberto: é provável que haja uma maneira de modificar (ou talvez até mesmo usá-lo fora da caixa) para que ele faça exatamente o que você deseja. Talvez configurando um repositório de atualização de assinatura local?
  • Yara também parece ser um bom candidato, embora não possa buscar assinaturas por si só. Você precisará fazer alguns scripts.

Basicamente, você tem dois mecanismos de correspondência de assinatura aqui que cuidarão do tedioso processo de varredura em todo o sistema. O que você tem que fazer daqui é cuidar da automação. Dependendo da sua configuração de rede, pode ir de algumas linhas de python e de um cron-job para GPOs, eu acho.

    
por 15.04.2014 / 16:54
-1

Obrigado pelas suas respostas. Isto é o que eu estou ouvindo de algumas pessoas que conheço na indústria.

Isso pode ser feito com o SEP, possivelmente de maneira diferente. Aqui está uma referência: link

Existe um recurso para isso em Bit9 / Carbon Black. link

O Bigfix (IBM Endpoint Manager) pode fazer isso. ... não foi possível postar link

O Palo-Alto Firewall pode fazer hash de arquivos enquanto ainda está em trânsito ... não foi possível postar link.

Não me entenda mal. Free / open source é ótimo. Geralmente, é uma troca por quanto trabalho de personalização / implementação você precisará fazer por conta própria.

Obrigado novamente!

    
por 17.04.2014 / 23:53

Tags

VPN e endereço IP local Não é possível obter o compartilhamento de pastas para funcionar no KVM Virtual Machine Manager