【自分の理解】
・i.ps1→installタスクを登録するスクリプト
・installタスク→q.ps1を登録、実行するタスク
・q.ps1→解析結果にある通りの動作

【疑問点】
「今後活動する可能性があるL社内ホスト」の調査として、「installタスクが登録されているホストを調査する」という回答となっております。
(5)で、https://△△△.comはアクセス拒否しているので、installタスクが実行されても、q.ps1をダウンロード・実行することはできない(＝活動を広げることはできない)という認識です。
何かしらの認識齟齬があるのだと思うのですが、自力では解決できないため
お力添えいただきたいです。

問われていることは「「今後活動する可能性があるL社内ホスト」の調査」であり、「活動を広げることはできない」という是非は問われていません。

この投稿は投稿者により削除されました。(2025.01.19 12:46)

>たぶんさん

※誤字のため投稿し直します

ご回答ありがとうございます。
おっしゃる通り、活動を広げることの是非は問われておりませんね、
失礼しました。ご指摘ありがとうございます。

まだしっくり来ていないのですが、
installタスクが実行されたとして、https://△△△.com/v/q.ps1のダウンロードも実行もできないのであれば、それは「活動する」といえるのでしょうか？

「〜図４で解析したマルウェアが〜活動する可能性があるL社ホストを見逃した恐れがある〜」というのが調査のきっかけです。つまり図４が活動内容です。図４にはinstallタスクの実行なども含まれています。
NWを塞ぐ事で、マルウェア活動は「攻撃者の意図通りに全て完了」しないかもしれませんが、一部実行される可能性がまだ残っている状況です。
そしてそういったリスクを含む未確認のホストを特定して調査するには？というのが設問です。攻撃が完了するホストを調査せよとは問われていません。

>たぶんさん

続けてのご回答ありがとうございます。
また、丁寧なご説明ありがとうございます。
腹落ちしました。
攻撃が完了しなきゃ意味ないだろうと決めつけておりました…。
勝手な決めつけには気をつけないといけませんね。

視野を広く持って過去問演習を続けようと思います。
重ねてになりますが、ありがとうございます。