det0276-detection-strategy-for-rogue-domain-controller-dcshadow-registration-and

# DET0276 — Detection Strategy for Rogue Domain Controller (DCShadow) Registration and Replication Abuse ## Descrição Esta estratégia detecta o ataque DCShadow, onde adversários com privilégios de Domain Admin registram temporariamente uma máquina comprometida como Domain Controller falso para injetar modificações maliciosas no Active Directory via replicação — sem passar pelos mecanismos normais de auditoria. O ataque foi desenvolvido pelos pesquisadores do Mimikatz e permite alterar objetos AD (grupos, permissões, SIDHistory) sem deixar rastros no SIEM. O DCShadow funciona em duas etapas: (1) registrar a máquina como DC temporário via LDAP, e (2) forçar replicação da modificação maliciosa a partir dessa máquina. A detecção se baseia em identificar registros de novos DCs não autorizados em sites AD, e tráfego de replicação RPC entre máquinas não-DC. A telemetria requer monitoramento de adições ao grupo `Enterprise Domain Controllers` ou alterações em SRV records de `_msdcs`, captura de tráfego MS-DRSR (replicação AD) de hosts não-DC, e alertas para modificações de objetos AD sem correspondência de Event IDs de auditoria convencional. ## Indicadores de Detecção - Registro de novo servidor LDAP nos SRV records `_msdcs` do DNS sem aprovação de mudança - Tráfego MS-DRSR (porta 135/RPC + portas dinâmicas) originando de host que não é DC registrado - Adição temporária de máquina ao grupo `Enterprise Domain Controllers` ou `Domain Controllers` - Modificação de atributos AD como `SIDHistory`, `AdminSDHolder`, ou `msDS-AllowedToActOnBehalfOfOtherIdentity` sem log de auditoria correspondente - Uso de Mimikatz com módulo `lsadump::dcshadow` detectado por EDR ou hash de processo - Replicação AD iniciada por máquina com IP não pertencente ao segmento de DCs ## Técnicas Relacionadas - [[t1207-rogue-domain-controller|T1207 — Rogue Domain Controller]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1003.006-dcsync|T1003.006 — DCSync]] ## Analytics Relacionadas - [[an0770-analytic-0770|AN0770 — Analytic 0770]] --- *Fonte: [MITRE ATT&CK — DET0276](https://attack.mitre.org/detectionstrategies/DET0276)*