Güvenlik uzmanları bilirler ki saldırganlar çoğu zaman zararlı işlemleri yapmak için gayet masum görünen araç ya da yöntemleri kullanırlar. Örneğin birçok sistem yöneticisinin ortamlarını yönetmek için kullandığı WMIC / PSExec gibi normal araçlar kurum içerisinde zararlı yazılım dağıtmak için de kullanılabiliyor.
Saldırganlar RDP yerine RCE (Remote Code Execution – Uzaktan Kod Çalıştırma) yönetimi daha çok tercih ediyorlar çünkü bu yöntem onlara istedikleri gizliliği sağlıyor. Bu şekilde Domain Controller dahil olmak üzere Windows sistemler üzerindeki kimlik bilgileri toplanabiliyor. RCE ile bir kod çalıştırılabilirse saldırgan sadece domain controller makinesini ele geçirmekle kalmıyor tüm AD forest yapınızı da yönetebilir hale geliyor.
Ancak saldırganların bilmediği bir şey olabilir, Microsoft ATA bu şekilde yapılan saldırıları kolaylıkla tespit edebiliyor. Microsoft ATA sürüm 1.8 ile beraber hem PSExec hem de WMI üzerinden yapılan saldırılar yakalanabiliyor.
Yukarıda görebileceğiniz ekran görüntüsünde domain admin hesabına karşı yapılan bir RCE saldırısının ATA tarafından tespiti yapılmış durumda.