Les solutions EDR (Endpoint Detection and Response) ont tendance à négliger les fichiers de script, se concentrant sur les implants binaires. Cette omission présente une opportunité pour les attaquants. BYOSI (Bring Your Own Scripting Interpreter) exploite cela en utilisant des interpréteurs de script signés qui échappent à la détection EDR. Un script PHP, signé par son créateur, peut s'exécuter sur des systèmes protégés par CrowdStrike et Trellix sans déclencher d'alertes. Le script récupère et extrait un archive PHP, puis exécute l'implant en utilisant le binaire PHP whitelisted. Cette méthode évite la détection EDR, permettant aux attaquants d'établir une shell active sur le système cible. Même les scripts PowerShell peuvent éviter la détection EDR avec seulement quatre lignes de code. Le statut de déploiement de confiance de GitHub renforce encore l'efficacité de cette attaque. Le script démontre la vulnérabilité des solutions EDR aux attaques de fichiers de script. L'auteur souligne qu'il n'est pas responsable de la mauvaise utilisation de cette technique, mais la met en évidence comme un point aveugle important dans la protection EDR. Des modifications au script PHP peuvent être nécessaires pour éviter la détection par Microsoft Defender. Sentinel One peut également être vulnérable à cette attaque, car il ne peut pas scanner les types de fichiers PHP selon les rapports.