EDR(엔드포인트 탐지 및 응답) 솔루션은 바이너리 임플란트에 초점을 맞추고 스크립팅 파일을 간과하는 경향이 있습니다. 이 간과는 공격자에게 기회를 제공합니다. BYOSI(Bring Your Own Scripting Interpreter)는 서명된 스크립팅 인터프리터를 사용하여 EDR 탐지를 우회하는 방식으로 이를 활용합니다. PHP 스크립트는 작성자가 서명한 후, CrowdStrike와 Trellix가 보호하는 시스템에서 경고를 트리거하지 않고 실행될 수 있습니다. 스크립트는 PHP 아카이브를 가져와 추출한 다음, 허용된 PHP 바이너리를 사용하여 임플란트를 실행합니다. 이 방법은 EDR 탐지를 피하여 공격자가 대상 시스템에서 활성 셸을 설정할 수 있습니다. 심지어 PowerShell 스크립트도 4줄의 코드로 EDR 탐지를 피할 수 있습니다. GitHub의 신뢰할 수 있는 배포자 상태는 이 공격의 효과를 더욱 강화합니다. 스크립트는 EDR 솔루션의 스크립팅 파일 공격에 대한 취약성을 보여줍니다. 작성자는 이 기술의 오남용에 대해 책임이 없지만 EDR 보호의 중요한 맹점으로 강조합니다. Microsoft Defender의 탐지를 피하기 위해 PHP 스크립트를 수정해야 할 수 있습니다. Sentinel One도 이 공격에 취약할 수 있으며, PHP 파일 유형을 스캔할 수 없다고 보고됩니다.