Pendant la boucle principale, Toneshell9 exécute une fonction pour établir une connexion socket à son serveur C2. Il commence par tenter de se connecter via la première structure SOCKADDR_IN. Si cela échoue, le logiciel malveillant tente d’établir une connexion socket via l’un des serveurs proxy récupérés dans le registre. Cette opération est tentée pour chacune des chaînes d’adresses C2, c’est-à-dire l’adresse IP et le domaine pour l’échantillon analysé ci-dessus.

Après avoir résolu l’adresse IP du serveur proxy et s’être connecté via un socket TCP, il règle d’abord les délais d’attente d’envoi et de réception à 1 minute. Ensuite, il envoie la requête de connexion suivante :

CONNECT <C2 server>:<C2 port> HTTP/1.0

Host: <C2 server>:<C2 port>

Content-Length: 0

Proxy-Connection: Keep-Alive

Pragma: no-cache

Si le serveur proxy renvoie un code d’état 2xx, la connexion a été établie avec succès et est prête pour le tunneling TCP brut. Pour vérifier la connexion avec son serveur C2, Toneshell9 utilise un protocole de handshake court, transmettant également l’adresse IP et le port du serveur au cours du processus. Si l’établissement de la liaison réussit, le handle du socket est stocké dans la structure C2_CONNECTION et les délais d’attente du socket sont définis sur 2 minutes. Toneshell envoie alors la première balise d'annonce via le socket.

Il attend une réponse similaire de la part de son serveur qui, hormis les 5 premiers octets, est chiffrée via la clé XOR transmise précédemment :

struct C2_RESPONSE

{

BYTE tls_header[3]; // 17 03 03

WORD payload_size; // big-endian

BYTE command_code;

BYTE shell_id;

BYTE data[];

}

En utilisant un proxy déjà configuré sur un appareil infecté, Toneshell peut se fondre efficacement dans le reste du trafic réseau. Les plus grands environnements d’entreprise appliquent souvent le filtrage des sorties, n’autorisant le trafic que via des passerelles fiables, ce qui bloquerait les communications directes C2. La capacité supplémentaire de Toneshell à contourner ce filtrage lui permet de fonctionner dans des environnements réseau bien sécurisés.