恶意文件

对手可能依赖用户打开恶意文件以获得执行。用户可能会受到社会工程的影响，诱使他们打开一个将导致代码执行的文件。此用户操作通常会作为鱼叉式网络钓鱼附件的后续行为观察到。对手可能会使用多种类型的文件，这些文件需要用户执行，包括.doc、.pdf、.xls、.rtf、.scr、.exe、.lnk、.pif、.cpl和.reg。 对手可能会采用各种形式的伪装和混淆文件或信息来增加用户打开并成功执行恶意文件的可能性。这些方法可能包括使用熟悉的命名约定和/或密码保护文件，并向用户提供如何打开文件的说明。(引用: Password Protected Word Docs) 虽然恶意文件通常在初始访问后不久发生，但它也可能在入侵的其他阶段发生，例如当对手将文件放置在共享目录或用户桌面上，希望用户点击它。此活动也可能在内部鱼叉式网络钓鱼后不久看到。