Introducción

El adversario analiza los datos recopilados en la etapa anterior para identificar las vulnerabilidades y técnicas que pueden explotar y obtener acceso no autorizado a la organización objetivo. Según las vulnerabilidades identificadas durante el análisis, el adversario selecciona o crea una carga útil maliciosa entregable a medida (remote-access malware weapon) utilizando un exploit y un backdoor para enviarla a la víctima. Un adversario puede apuntar a dispositivos de red específicos, sistemas operativos, dispositivos de punto final o incluso a personas dentro de la organización para llevar a cabo su ataque. Por ejemplo, el adversario puede enviar un correo electrónico de phishing a un empleado de la organización objetivo, que puede incluir un archivo adjunto malicioso como un virus o gusano que, cuando se descarga, instala una puerta trasera en el sistema que permite el acceso remoto al adversario.

Las actividades del adversario incluyen las siguientes:

• Identificación apropiada de malware payload basado en el análisis

• Creando un nuevo malware payload o seleccionar, reutilizar y modificar los malware payloads disponibles en base a la vulnerabilidad identificada

• Creación de un email campaign (Phishing)

• Aprovechamiento de exploit kits y botnets