この記事は NFLaboratories Advent Calendar 2023 14 日目の記事です。 はじめに 問題紹介 解法 pcapファイルの解析 80/tcp 443/tcp 21/tcp, 37039/tcp, 59847/tcp Windows イベントログの解析 PowerShellのコードの解析 イベントログから見つかったコード lib PowerShell解析結果のまとめ 暗号化されたトラフィックの復号 FTPで転送されたファイルの復号 dumpファイルの解析 パスワードクラック 余談と反省 おわりに