Мошеннический контроллер домена

Злоумышленники могут зарегистрировать мошеннический контроллер домена для манипулирования данными Active Directory. DCShadow может использоваться для создания мошеннического контроллера домена (DC). DCShadow — это метод манипулирования данными Active Directory (AD), включая объекты и схемы, путем регистрации (или повторного использования неактивной регистрации) и имитации поведения DC. После регистрации мошеннический DC может внедрять и реплицировать изменения в инфраструктуру AD для любого объекта домена, включая учетные данные и ключи. Регистрация мошеннического DC включает создание новых объектов сервера и nTDSDSA в разделе конфигурации схемы AD, что требует привилегий администратора (доменного или локального для DC) или хеша KRBTGT. Эта техника может обойти системное журналирование и мониторы безопасности, такие как продукты управления информацией и событиями безопасности (SIEM) (поскольку действия, выполняемые на мошенническом DC, могут не сообщаться этим датчикам). Техника также может использоваться для изменения и удаления репликации и других связанных метаданных для препятствования судебно-медицинскому анализу. Злоумышленники также могут использовать эту технику для выполнения Внедрения в SID-History и/или манипулирования объектами AD (такими как учетные записи, списки управления доступом, схемы) для установки бэкдоров для закрепления.