Короче, теперь понял, что главное — это не столько искать какие-то прям «плохие» инструменты, сколько внимательно смотреть на то, кто и как пользуется разрешённым трафиком. Особенно DNS и HTTPS — там очень много «шумных» вещей, и если не связать всё вместе с поведением в AD, то легко проморгать реальный скрытый канал. Надо реально собирать цепочку и видеть, что всё это часть одной атаки.