DCShadow

DCShadow 是一种通过注册（或重用非活动的注册）和模拟域控制器 (DC) 行为来操作活动目录 (AD) 数据（包括对象和模式）的方法。 一旦完成注册 ，恶意 DC 就可以为任何域对象（包括凭据和密钥）在 AD 基础架构中注入和复制更改。 注册恶意 DC 需要在 AD 模式的配置 (Configuration ) 分区中创建一个新的服务器和 nTDSDSA 对象，这需要管理员权限（域或本地 DC) 或 KRBTGT 散列。

这种技术可能会绕过系统日志记录和安全监视器，比如安全信息和事件管理 (SIEM) 产品（因为可能不会向这些传感器报告在恶意 DC 上执行的操作）。 该技术还可用于修改和删除副本和其他相关元数据，以阻碍取证分析。 攻击者也可以使用这种技术来执行 SID 历史注入 (SID-History Injection) 和/或操作 AD 对象（如帐户、访问控制列表、模式）以建立用于持久化 (Persistence) 的后门。

缓解

这种类型的攻击技术不能简单通过预防性控制缓解，因为它基于对 AD 设计特性的滥用。 例如，减少特定的 AD 的 API 调用可能会产生意想不到的副作用，比如阻止 DC 复制正常运行。 应该集中精力防止攻击者工具在活动链中更早地运行以及识别后续恶意行为。

检测

监视和分析与 DC 间以及非 DC 主机间的数据复制（例如对 DrsAddEntry，DrsReplicaAdd，尤其是 GetNCChanges 的调用）相关的网络流量。 DC 复制一般每 15 分钟进行一次，但可以由攻击者或合法的紧急变更（例如：密码）触发。 还可以考虑监视和 AD 对象的复制告警（审计详细的目录服务复制 Events 4928 和 4929)。

利用 AD 目录同步 (DirSync) 使用 AD 复制 cookie 来监视目录状态的更改。

Baseline 并定期分析 AD 模式的配置部分，并在创建 nTDSDSA 对象时发出告警。

调查 Kerberos 服务主体名称（SPN）的使用情况，特别是那些与 DC 组织单元（OU）中不存在的计算机相关的服务（以“GC /”开头）。 与目录复制服务 (DRS) 远程协议接口 (GUID E3514235-4B06-11D1-AB04-00C04FC2DCD2) 相关联的 SPN 可以在不进行日志记录的情况下进行设置。 流氓 DC 必须使用这两个 SPN 作为服务进行身份验证，才能成功完成复制过程。