DCShadow

DCShadow est une attaque sophistiquée découverte en 2018 par Vincent Le Toux et Benjamin Delpy (mimikatz) qui permet à un attaquant de simuler un Domain Controller temporaire dans Active Directory pour répliquer des modifications malveillantes au reste du domaine, en contournant la plupart des outils de monitoring SIEM (qui ne s'attendent pas à ce qu'un DC légitime émette ces changements).

Workflow : (1) l'attaquant, ayant compromis des droits Domain Admin, enregistre un faux DC via des SPN spécifiques et la création d'un objet nTDSDSA dans la Configuration NC ; (2) il pousse via DrsReplicaAdd des modifications arbitraires (ex: ajouter SidHistory pointant vers Enterprise Admins sur un compte utilisateur, modifier objectSid, désactiver des stratégies de sécurité) ; (3) les autres DCs acceptent ces réplications comme légitimes ; (4) le faux DC est dé-enregistré, ne laissant que peu de traces dans les logs traditionnels.

Intérêt pour l'attaquant : la persistence via DCShadow est extrêmement furtive, car les changements ne passent pas par les Event Logs typiques (4720, 4732) — ils apparaissent comme des réplications inter-DC.

Détection : (1) Microsoft Defender for Identity (ATA) détecte les enregistrements de DC suspects ; (2) audit des modifications du schema partition et configuration partition ; (3) monitoring des objets nTDSDSA créés en dehors des windows de maintenance ; (4) alertes sur les SPN GC/ et E3514235-4B06-11D1-AB04-00C04FC2DCD2 sur des hosts non-DC ; (5) Splunk/Sentinel rules basées sur Event ID 5137/5141. Mitigations : tiering strict, monitoring privilégié, EDR sur les T0 hosts.