Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les incidents soupçonnés d’être causés par Mimikatz DCShadow. DCShadow est une fonctionnalité de Mimikatz qui simule le comportement d’un contrôleur de domaine (un serveur contrôlant Active Directory) pour injecter ses propres données, contournant ainsi la plupart des contrôles de sécurité standard (y compris les SIEM).

Mimikatz DCShadow aide l’attaquant à établir un contrôleur de domaine (DC) malveillant qui devient une partie d’Active Directory (AD). Une fois enregistré, il peut agir comme un DC légitime et causer des dommages.