DCShadow — это атака на поздней стадии цепочки уничтожения, которая позволяет злоумышленнику с привилегированными учетными данными зарегистрировать «мошеннический» контроллер домена, чтобы отправить изменения в домен посредством репликации домена. Внедренные реплицированные события регистрируются, обрабатываются и фиксируются как допустимая репликация домена. В результате злоумышленник может вносить изменения посредством репликации способом, который очень трудно обнаружить.
DCShadow
В MaxPatrol SIEM добавлены новые правила обнаружения угроз
Пакет экспертизы MaxPatrol SIEM позволяет выявить еще десять признаков активности злоумышленников
Атака на Active Directory позволяет внедрить вредоносный контроллер домена
С помощью атаки DCShadow злоумышленники могут устанавливать бэкдоры.