Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, bei denen vermutet wird, dass sie durch Mimikatz DCShadow verursacht wurden. DCShadow ist eine Funktion in Mimikatz, die das Verhalten eines Domänencontrollers (eines Servers, der Active Directory steuert) simuliert, um seine eigenen Daten einzufügen, wobei die meisten Standardsicherheitskontrollen (einschließlich SIEMs) umgangen werden.

Mimikatz DCShadow hilft dem Angreifer, einen Rogue Domain Controller (DC) einzurichten, der Teil des Active Directory (AD) wird. Nach der Registrierung kann es als legitime DC fungieren und Schäden verursachen.