Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, bei denen der Verdacht besteht, dass sie durch Mimikatz DCShadow verursacht werden. DCShadow ist eine Funktion in Mimikatz, die das Verhalten eines Domänencontrollers (eines Servers, der Active Directory steuert) simuliert, um eigene Daten einzufügen und die meisten standardmäßigen Sicherheitskontrollen (einschließlich SIEMs) zu umgehen.

Mimikatz DCShadow hilft dem Angreifer, einen nicht autorisierten Domänencontroller (DC) einzurichten, der Teil des Active Directory (AD) wird. Nach der Registrierung kann er als rechtmäßiger DC fungieren und Schaden anrichten.