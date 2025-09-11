メイン・ループの間、Toneshell9はC2サーバーへのソケット接続を確立する関数を実行します。まず、最初のSOCKADDR_IN構造体を介して接続を試みます。それが失敗した場合、マルウェアはレジストリーから収集されたプロキシ・サーバーのいずれかを介してソケット接続を確立しようとします。これは、C2アドレスの各文字列、つまり上記で分析されたサンプルのIPアドレスとドメインに対して試行されます。

プロキシ・サーバーのIPアドレスを解決し、TCPソケット経由で接続した後、まず送受信のタイムアウトを1分に設定します。続いて、次の接続リクエストを送信します。

CONNECT <C2 server>:<C2 port> HTTP/1.0

Host: <C2 server>:<C2 port>

Content-Length: 0

Proxy-Connection: Keep-Alive

Pragma: no-cache

プロキシ・サーバーが2xxステータス・コードを返す場合、接続は正常に確立されており、生のTCPトンネリングの準備が整っています。Toneshell9はC2サーバーとの接続を確認するために、短いハンドシェイク・プロトコルを使用し、そのプロセスでサーバーのIPとポートも送信します。ハンドシェイクが成功すると、ソケットへのハンドルがC2_CONNECTION構造体に保管され、ソケットのタイムアウトは2分に設定されます。次に、Toneshellはソケットを通じて最初の広告ビーコンを送信します。

サーバーから同様の応答が返されることが予想されますが、最初の5バイト以外は、以前に送信されたXORキーを介して暗号化されます。

struct C2_RESPONSE

{

BYTE tls_header[3]; // 17 03 03

WORD payload_size; // big-endian

BYTE command_code;

BYTE shell_id;

BYTE data[];

}

感染したデバイスですでに設定されているプロキシーを使用することで、Toneshellは他のネットワーク・トラフィックに効果的に紛れ込むことができます。大規模なエンタープライズ環境では、多くの場合、出力フィルタリングが実施され、信頼できるゲートウェイを通過するトラフィックのみが許可され、直接のC2通信がブロックされます。Toneshellにはこのフィルタリングを回避する機能が備わっており、セキュリティーが十分に確保されたネットワーク環境下でも動作できます。