攻撃者は、PowerShell、Bash、Python、JavaScript などの組み込みインタープリターを使用して、システムユーティリティを悪意のあるコードの実行に利用することがよくあります。この戦術は、MITRE ATT&CK T1059 として知られており、攻撃者が偵察を行い、権限を昇格させ、環境内で水平移動することを可能にし、同時にその活動を隠蔽します。スクリプトの実行は多くの環境で遍在しており、正常な活動と潜在的な脅威を区別することが困難になっています。攻撃者は、コマンドとスクリプトインタープリターを悪用して目的を達成しており、永続性を確立し、制御を奪われる前にその活動を検出することが不可欠です。悪意のあるスクリプト活動を検出するには、異常なインタープリターの使用、不審なコマンドライン、および不審なコマンドによるプロセスの作成を監視することが不可欠です。さらに、スクリプトの親プロセスと子プロセスの関係の特定、ダウンロードのための curl または wget の使用、および一時ディレクトリからのスクリプトの実行は、悪意のある活動を示す可能性があります。Python スクリプトの実行、JScript または JavaScript の実行、および不審な VBScript の実行を監視することも、潜在的な脅威を特定するのに役立ちます。不審なバッチスクリプトの実行、重要なディレクトリにおける異常なインタープリター活動、および Base64 または難読化された PowerShell 文字列を検出することは、脅威検出をさらに支援できます。これらの検出方法を使用することにより、セキュリティチームは潜在的に悪意のあるスクリプト活動を特定して調査し、攻撃のリスクを軽減することができます。