공격자들은 종종 시스템 유틸리티를 악용하여 악성 코드를 실행합니다. PowerShell, Bash, Python 또는 JavaScript와 같은 내장된 인터프리터를 사용하여 임의의 명령을 실행하는 것입니다. MITRE ATT&CK T1059로 알려진 이 전술을 통해 적은 환경 내에서 정찰, 권한 상승, 횡적 이동을 수행하면서 활동을 위장할 수 있습니다. 스크립트 실행은 많은 환경에서 만연하기 때문에 정상적인 활동과 잠재적인 위협을 구별하기 어렵습니다. 공격자들은 명령 및 스크립팅 인터프리터를 활용하여 목표를 달성하며, 지속성을 확립하고 제어권을 장악하기 전에 그들의 활동을 감지하는 것이 중요합니다. 악성 스크립트 활동을 감지하려면 비정상적인 인터프리터 사용, 의심스러운 명령줄, 의심스러운 명령으로 프로세스 생성을 모니터링해야 합니다. 또한 스크립트의 부모-자식 프로세스 관계, 다운로드를 위한 curl 또는 wget 사용, 임시 디렉터리에서 스크립트 실행을 식별하는 것은 악성 활동을 나타낼 수 있습니다. Python 스크립트 실행, JScript 또는 JavaScript 실행, 의심스러운 VBScript 실행을 모니터링하는 것도 잠재적인 위협을 식별하는 데 도움이 될 수 있습니다. 의심스러운 배치 스크립트 실행, 중요 디렉터리의 비정상적인 인터프리터 활동, Base64 또는 난독화된 PowerShell 문자열을 감지하는 것은 위협 탐지를 더욱 지원할 수 있습니다. 이러한 탐지 방법을 사용함으로써 보안 팀은 잠재적인 악성 스크립트 활동을 식별하고 조사하여 공격의 위험을 줄일 수 있습니다.