도구는 위협 행위자가 공격을 수행하는 데 사용하는 합법적인 소프트웨어입니다. 도구는 STIX 2.x에 적용됩니다.

도구를 사용하면 위협 행위자가 캠페인을 실행하는 데 도구를 사용하는 방법과 시기를 알 수 있습니다. 맬웨어와 달리 이러한 도구 또는 소프트웨어 패키지는 시스템에서 발견되는 경우가 많으며 고급 사용자, 관리자, 네트워크 관리자 또는 일반 사용자에게도 합법적인 목적을 갖습니다.

예를 들어 원격 액세스 도구(RDP) 및 네트워크 검사 도구(Nmap)는 위협 행위자가 공격 중에 사용하는 도구입니다.