恶意域控制器

对手可能会注册一个恶意域控制器，以便操纵Active Directory数据。DCShadow可能被用来创建一个恶意域控制器（DC）。DCShadow是一种通过注册（或重新使用不活动的注册）并模拟DC的行为来操纵Active Directory（AD）数据（包括对象和架构）的方法。(引用: DCShadow Blog) 一旦注册，恶意DC可能能够将更改注入并复制到AD基础设施中的任何域对象，包括凭据和密钥。 注册恶意DC涉及在AD架构的配置分区中创建新的服务器和nTDSDSA对象，这需要管理员权限（域管理员或本地DC管理员）或KRBTGT哈希。(引用: Adsecurity Mimikatz Guide) 此技术可能绕过系统日志记录和安全监控工具（如安全信息和事件管理（SIEM）产品），因为在恶意DC上执行的操作可能不会报告给这些传感器。(引用: DCShadow Blog) 此技术还可以用于更改和删除复制和其他相关元数据，以阻碍法医分析。对手还可能利用此技术执行SID历史注入和/或操纵AD对象（如账户、访问控制列表、架构）以建立持久性后门。(引用: DCShadow Blog)