DCShadow — это атака на поздней стадии цепочки уничтожения, которая позволяет злоумышленнику с привилегированными учетными данными зарегистрировать «мошеннический» контроллер домена, чтобы отправить изменения в домен посредством репликации домена. Внедренные реплицированные события регистрируются, обрабатываются и фиксируются как допустимая репликация домена. В результате злоумышленник может вносить изменения посредством репликации способом, который очень трудно обнаружить.
5778 К? Пф! У нас градус знаний зашкаливает!
Пакет экспертизы MaxPatrol SIEM позволяет выявить еще десять признаков активности злоумышленников
С помощью атаки DCShadow злоумышленники могут устанавливать бэкдоры.