Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, von denen angenommen wird, dass sie durch Mimikatz DCShadow verursacht wurden. DCShadow ist eine Funktion in Mimikatz, die das Verhalten eines Domänencontrollers (eines Servers, der Active Directory steuert) simuliert, um eigene Daten einzuschleusen und die meisten standardmäßigen Sicherheitskontrollen (einschließlich SIEMs) zu umgehen.

Mimikatz DCShadow hilft dem Angreifer, einen nicht autorisierten Domänencontroller (DC) einzurichten, der Teil von Active Directory (AD) wird. Nach der Registrierung kann er als berechtigter DC fungieren und Schaden anrichten.