Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les incidents soupçonnés d’être causés par Mimikatz DCShadow. DCShadow est une fonctionnalité de Mimikatz qui simule le comportement d’un contrôleur de domaine (un serveur contrôlant Active Directory) pour injecter ses propres données, en contournant la plupart des contrôles de sécurité standard (y compris les SIEM).

Mimikatz DCShadow aide l’attaquant à établir un contrôleur de domaine (DC) non autorisé qui fait partie d’Active Directory (AD). Une fois enregistré, il peut agir comme un CD légitime et causer des dommages.