Un insieme familiare di strumenti - PowerShell, WMI, certutil, mshta e contesti JavaScript - può consentire agli intrusi di mimetizzare l'attività del malware nella normale amministrazione, costringendo i difensori a esaminare il comportamento invece dei nomi dei file.
Uno sguardo più attento alle tattiche living-off-the-land mostra perché i difensori devono monitorare gli strumenti Windows affidabili con la stessa attenzione con cui osservano il malware.