Решения EDR часто упускают из виду файлы скриптов, сосредотачиваясь на бинарных имплантатах. Это упущение представляет собой возможность для атакующих. BYOSI (Принеси свой собственный интерпретатор скриптов) использует это, используя подписанные интерпретаторы скриптов, которые обходят обнаружение EDR. Скрипт PHP, подписанный его создателем, может выполняться на системах, защищенных CrowdStrike и Trellix, без срабатывания сигналов тревоги. Скрипт извлекает и извлекает архив PHP, а затем выполняет имплантат с помощью белого списка PHP-бинаря. Этот метод избегает обнаружения EDR, позволяя атакующим установить активную оболочку на целевой системе. Даже скрипты PowerShell могут избежать обнаружения EDR всего за четыре строки кода. Доверенный статус развертчика GitHub еще больше усиливает эффективность этой атаки. Скрипт демонстрирует уязвимость решений EDR к атакам на файлы скриптов. Автор подчеркивает, что он не несет ответственности за злоупотребление этим методом, но подчеркивает его как значительную слепую зону в защите EDR. Возможно, потребуется изменение скрипта PHP, чтобы избежать обнаружения Microsoft Defender. Sentinel One также может быть уязвим для этой атаки, поскольку, как сообщается, он не может сканировать файлы типа PHP.