به دست آوردن قابلیت‌ها

مهاجمان بدافزار را از منابع مختلف به دست می‌آورند، از جمله خرید از بازارهای زیرزمینی، دانلود از مخازن عمومی یا سرقت از سایر مهاجمان. این بدافزارها ممکن است شامل RAT ها، ransomware، spyware، keylogger ها یا سایر ابزارهای مخرب باشند.

مهاجمان ابزارهای هک و تست نفوذ را به دست می‌آورند، از جمله ابزارهای عمومی مانند Metasploit، Cobalt Strike، Mimikatz یا ابزارهای اختصاصی. این ابزارها ممکن است از مخازن عمومی دانلود شوند، خریداری شوند یا از سایر مهاجمان سرقت شوند.

مهاجمان گواهینامه‌های امضای کد را از منابع مختلف به دست می‌آورند، از جمله خرید از CA های قانونی با هویت جعلی، سرقت از سازمان‌های قانونی یا خرید از بازارهای زیرزمینی. این گواهینامه‌ها برای امضای بدافزار و کاهش احتمال شناسایی استفاده می‌شوند.

مهاجمان گواهینامه‌های SSL/TLS را از منابع مختلف به دست می‌آورند. این شامل خرید از CA های قانونی، استفاده از CA های رایگان مانند Let's Encrypt یا سرقت گواهینامه‌های موجود است. گواهینامه‌های دیجیتال برای رمزنگاری ترافیک C2 و افزایش اعتبار زیرساخت مهاجم استفاده می‌شوند.

مهاجمان اکسپلویت‌هایی را برای آسیب‌پذیری‌های شناخته‌شده خریداری، سرقت یا دانلود می‌کنند. این اکسپلویت‌ها ممکن است از بازارهای زیرزمینی، فروشندگان اکسپلویت، شرکت‌های فناوری یا سایر مهاجمان به دست آیند. اکسپلویت‌های zero-day ارزش بسیار بالایی در بازارهای زیرزمینی دارند.

مهاجمان اطلاعاتی درباره آسیب‌پذیری‌های سخت‌افزار و نرم‌افزار به دست می‌آورند. این اطلاعات ممکن است از پایگاه‌های داده عمومی CVE، پایگاه‌های داده خصوصی آسیب‌پذیری یا تحقیقات اختصاصی به دست آیند. مهاجمان این اطلاعات را برای شناسایی اهداف آسیب‌پذیر و برنامه‌ریزی حمله استفاده می‌کنند.

مهاجمان از ابزارها و مدل‌های هوش مصنوعی برای پشتیبانی از عملیات خود استفاده می‌کنند. این شامل استفاده از LLM ها برای تولید محتوای فیشینگ متقاعدکننده‌تر، deepfake برای جعل هویت، ابزارهای AI برای تحلیل داده‌های سرقت‌شده یا اتوماسیون مراحل مختلف حمله است.