このプレイブックでは、Mimikatz DCShadow が原因と疑われるインシデントを調査するための体系的な修復ステップについて説明します。DCShadow は Mimikatz の機能であり、ドメインコントローラー (Active Directory を制御するサーバー) の動作をシミュレートして、標準のセキュリティコントロール (SIEM を含む) のほとんどをバイパスして独自のデータを挿入します。

Mimikatz DCShadow は、攻撃者が Active Directory (AD) の一部となる不正なドメインコントローラー (DC) を設定する足がかりとなります。登録されると、正当な DC として機能し、損害を発生させる可能性があります。