Вот именно — проблема в том, что на Linux почти всё legit, и по одному событию сложно понять, что это атака, а что админский рутин. LotL живёт, потому что злоумышленник пользуется встроенными инструментами, которые всегда работают и никто не отменял. Защита часто видит кучу “шумных” данных и запутывается, особенно когда дело касается памяти процессов и eBPF, где много тонкостей в контексте и цепочках. Вот от этого и пляшем.