Eu sugeriria duas áreas para olhar, dependendo do seu nível de sensibilidade (originalmente eu escrevi "paranoia" lá, mas acho que há um ponto válido a ser feito sobre escalar seu nível de resposta versus as conseqüências para não fazendo o suficiente).
Eu pessoalmente consideraria qualquer domínio do Windows AD (* outros serviços de gerenciamento centralizado de contas estão disponíveis, suponha que eu esteja falando sobre eles também ) que a vítima estava conectada como suspeita. Embora sejam menos prevalentes hoje em dia, houve ataques no passado usando a conta de 'usuário de domínio' capturada para autenticar no domínio e agir como um ponto de partida para comprometer as contas de administrador de domínio.
A outra área em que eu me preocupo é onde você pode ter um sistema fora do seu mecanismo de autenticação centralizado, mas onde um usuário reutilizou detalhes da conta. Uma vez que você tenha uma combinação de nome de usuário / senha reunida em uma fonte, é bastante trivial jogar essa combinação de volta em todos os outros sistemas que você pode encontrar para ver se funciona.
Por último, não se esqueça dos sistemas com os quais o servidor comprometido se conecta usando credenciais ocultas no próprio código (por exemplo, conexões de bancos de dados, etc.).
Se você está trabalhando para a definição de segmentação usada no kit de ferramentas de escopo, por exemplo, isolamento total , então você pode estar razoavelmente seguro de que o ataque não cruzou esses limites. Isso é realmente um bom lugar para começar. De muitas maneiras, trabalhando nisso antes de um problema, você já está muito muito à frente no jogo - escrevi a pergunta que você faz referência como guia para pessoas que não planejaram muito à frente.