Tools sind legitime Software, die von Bedrohungsakteuren zum Ausführen von Angriffen verwendet werden. Tools gelten für STIX 2.x.

Mit Tools können Sie wissen, wie und wann Bedrohungsakteure sie für die Ausführung von Kampagnen verwenden. Im Gegensatz zu Malware befinden sich diese Tools oder Softwarepakete häufig auf einem System und dienen berechtigten Zwecken für Power-Benutzer, Administratoren, Netzwerkadministratoren oder sogar normale Benutzer.

Beispielsweise sind Remote Access Tools (RDP) und Network Scan Tools (Nmap) Tools, die ein Bedrohungsakteur während eines Angriffs verwendet.