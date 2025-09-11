Während der Hauptschleife führt Toneshell9 eine Funktion aus, um eine Sockelverbindung zu seinem C2-Server herzustellen. Zunächst wird versucht, über die erste SOCKADDR_IN-Struktur eine Verbindung herzustellen. Wenn dies fehlschlägt, versucht die Malware, eine Socket-Verbindung über einen der Proxy-Server herzustellen, die in der Registrierung erfasst sind. Dies wird für jede der C2-Adressen versucht, d. h. für die IP-Adresse und die Domäne des oben analysierten Beispiels.

Nachdem die IP-Adresse des Proxy-Servers aufgelöst und über einen TCP-Socket verbunden wurde, setzen sie zunächst die Sende- und Empfangszeiten auf 1 Minute. Anschließend sendet es die folgende Verbindungsanfrage:

CONNECT <C2 server>:<C2 port> HTTP/1.0

Host: <C2 server>:<C2 port>

Content-Length: 0

Proxy-Connection: Keep-Alive

Pragma: no-cache

Wenn der Proxy-Server den Statuscode 2xx zurückgibt, wurde die Verbindung erfolgreich hergestellt und ist bereit für Raw TCP Tunneling. Zur Überprüfung der Verbindung mit seinem C2-Server verwendet Toneshell9 ein kurzes Handshake-Protokoll und überträgt dabei auch die IP-Adresse und den Port des Servers. Wenn der Handshake erfolgreich ist, wird das Handle zum Socket in der C2_CONNECTION-Struktur gespeichert und die Socket-Timeouts werden auf 2 Minuten gesetzt. Toneshell sendet dann den ersten Werbebeacon durch die Buchse.

Es erwartet eine ähnliche Antwort von seinem Server, der bis auf die ersten 5 Byte mit dem zuvor übertragenen XOR-Schlüssel verschlüsselt ist:

struct C2_RESPONSE

{

BYTE tls_header[3]; // 17 03 03

WORD payload_size; // big-endian

BYTE command_code;

BYTE shell_id;

BYTE data[];

}

Durch die Verwendung eines bereits auf einem infizierten Gerät konfigurierten Proxys kann Toneshell effektiv in den übrigen Netzwerkverkehr integriert werden. In größeren Unternehmensumgebungen wird häufig eine Egress-Filterung erzwungen, die den Datenverkehr nur über vertrauenswürdige Gateways zulässt, wodurch die direkte C2-Kommunikation blockiert wird. Die zusätzliche Funktion von Toneshell, diese Filterung zu umgehen, ermöglicht den Betrieb in gut gesicherten Netzwerkumgebungen.