Playbook für T1003 – Abwehrflucht – Mimikatz-DCShadow

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, bei denen vermutet wird, dass sie durch Mimikatz DCShadow verursacht werden. DCShadow ist eine Funktion in Mimikatz, die das Verhalten eines Domänencontrollers (eines Servers, der Active Directory steuert) simuliert, um seine eigenen Daten einzufügen, wobei die meisten Standardsicherheitskontrollen (einschließlich SIEMs) umgangen werden.

    Mimikatz DCShadow hilft dem Angreifer, einen Rogue Domain Controller (DC) einzurichten, der Teil des Active Directory (AD) wird. Nach der Registrierung kann es als legitime DC fungieren und Schäden verursachen.