Use o playbook T1003 - Evasão de defesa - Mimikatz DCSombra

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use este playbook para investigar incidentes de segurança suspeitos de serem causados pelo Mimikatz DCShadow. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook T1003 - Evasão de defesa - Mimikatz DCSombra.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, descubra qual conta é responsável pela criação do novo DC (Controlador de domínio).
    2. Na Ação 2, entre em contato com o usuário para validar a justificativa de negócio.
      Você pode usar o modelo de e-mail fornecido para entrar em contato com o usuário.
    3. Na Ação 3, verifique se o usuário forneceu uma justificativa de negócio válida.
    4. Na Ação 4, se o usuário forneceu uma justificativa de negócio válida, execute as seguintes etapas:
      Figura 1. T1003 – Evasão de defesa – Playbook do Mimikatz DCShadow
      Tarefa de resposta para verificar se o usuário forneceu uma justificativa de negócio válida
      1. Na Ação 5, documente as descobertas até o momento.
      2. Na Ação 6, inicie uma análise pós-incidente.
        Na Ação 7, após a análise pós-incidente, o fluxo termina.
    5. Na Ação 8, se o usuário não forneceu uma justificativa de negócio válida, execute as seguintes etapas:
      Figura 2. Como usar o playbook T1003 - Evasão de defesa - Mimikatz DCSombra
      Tarefas de resposta quando o usuário não forneceu uma justificativa de negócios válida.
      1. Na Ação 9, bloqueie ou coloque em quarentena todas as contas, computadores e outros dispositivos envolvidos.
      2. Na Ação 10, execute uma investigação forense nas contas bloqueadas e identifique se algum dado foi exfiltrado ou algum código mal-intencionado foi injetado.
      3. Na Ação 11, crie novamente a imagem dos recursos afetados.
      4. Na Ação 12, remova a contenção e traga os sistemas de volta aos padrões operacionais.
      5. Na Ação 13, conclua a revisão pós-incidente antes de fechar a tarefa.