diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md
index b0dd9a0..a9612cc 100644
--- a/malware-tech_ref_and_memo.md
+++ b/malware-tech_ref_and_memo.md
@@ -313,6 +313,19 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
   - [Chirp of the PoisonFrog](https://ironnet.com/blog/chirp-of-the-poisonfrog/)
   - [Glimpse to Glimpse](https://ironnet.com/blog/a-glimpse-into-glimpse/)
 
+## Using SSL/TLS
+- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
+- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
+- 代表的なマルウェア
+	- Trickbot
+		- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
+	- IcedID
+		- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
+	- Dridex
+		- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
+- ref:
+	- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
+
 ## Packing
 - 実行形式を保持したまま，実行ファイルを圧縮
     - パッキング後のプログラムには展開ルーチン，圧縮されたオリジナルコードが含まれる
@@ -450,19 +463,7 @@ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
       dig  -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
       dig whoami.akamai.net @ns1-1.akamaitech.net
       ```
-# C&C communication
-## Using SSL/TLS
-- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
-- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
-- 代表的なマルウェア
-	- Trickbot
-		- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
-	- IcedID
-		- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
-	- Dridex
-		- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
-- ref:
-	- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
+
 # Delete Data
 ## Delete Volume Shadow
 - ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い