Вступление.
Обнаружение и предотвращение злоупотреблений LoLBins. Защита от злоупотреблений LoLBins в сочетании с бесфайловым кодом затруднена для средств управления безопасностью, которые не отслеживают поведение процессов.
Злоупотребление может быть обнаружено по родительско-дочерним отношениям запущенных процессов, а также аномалиям в сетевой активности процессов, которые обычно не связаны с сетевым взаимодействием.

Примечание. Есть восможность комбинировать под себя.

Обратите внимание, что детали настройки требуют внимательности и опыта!

Более подробная информация (на английском языке) https://lolbas-project.github.io
Более подробная информация (на английском языке) https://blog.talosintelligence.com/2019/11/hunting-for-lolbins.html

Приложения, которые могут обходить WDAC и как их блокировать:
Более подробная информация (на русском языке) https://learn.microsoft.com/ru-ru/windows/security/application-security/application-control/windows-defender-application-control/design/applications-that-can-bypass-wdac