Tools sind legitime Software, die von Bedrohungsakteuren zum Ausführen von Angriffen verwendet wird. Tools gelten für STIX 2.x.

Mit Tools können Sie wissen, wie und wann Bedrohungsakteure sie für die Ausführung von Kampagnen verwenden. Im Gegensatz zu Malware werden diese Tools oder Softwarepakete häufig auf einem System gefunden und haben legitime Zwecke für Poweruser, Administratoren, Netzwerkadministratoren oder sogar normale Anwender.

Beispielsweise sind Remote Access Tools (RDP) und Network Scan Tools (Nmap) Tools, die ein Bedrohungsakteur während eines Angriffs verwendet.