Pegasus

Pegasus copied to clipboard

Проект Пегас - краткое описание содержимого

Пегас - структурированный сложный проект под х32 и х64 платформы. Установщик инжектирует в память процесса svchost образ с ядром системы и модулями, после чего выполняется самоудаление с затиранием исходного файла. Передача управления в исходном инсталлере идет следующим образом: Shellcode -> InstallDispatcherDll Передача управления в новом процессе идет по схеме: Shellcode -> WorkDispatcherDll -> все остальные модули При установке поверх существующей версии выполняется контроль айди билда, и если он ниже или равен уже существующей версии - установка не выполняется. Подробности функционирования модулей потребуют значительного времени для описания, поэтому в случае необходимости предлагается смотреть исходники - они хорошо откомментированы и структурированы.

Для сборки нужна студия не ниже 2013 и PHP Tools for Visual Studio от Devsense

Размещение файлов по папкам

binres

Скомпилированные модули и другой код под х32 и х64 платформы

BUILDS

Финальные установщики под обе платформы, отладочная и релизная версии в зависимости от папки

inc

Программные модули (библиотеки), используемые различными подпроектами

InstallDispatcherDll

Модуль-установщик, выполняет инжект в новый процесс

InstallerExe

Проект начального установлика

lib

Файлы для успешной компиляции без MSVCRT

LZ4_pack

Утилита упаковки ресурсов

mod_CmdExec

Модуль запуска команд из панели (новый процесс, команда в консоли и т.п.)

mod_DomainReplication

Модуль самораспространения в домене

mod_KBRI

Модуль подмены платежей в КБР

mod_KBRI_hd

Модуль-инжектор для перехвата процесса обмена данными КБР и получения от mod_KBRI подмененных данных

mod_LogonPasswords

Модуль поиска паролей, переписанный и исправленный код mimikatz

mod_NetworkConnectivity

Модуль сетевой связи, в том числе через пайпы для машин с закрытым доступом в сеть

RemoteServiceExe

Специальный исполняемый файл, который забрасывается на удаленную систему в процессе распространения в домене

shared

Общие заголовочные и конфигурационные файлы

Shellcode

Шеллкод для загрузки и запуска присоединенных библиотек

tools

Утилиты и скрипты для сборки проекта и его частей

WEB

Клиентская часть админ-панели, интегрирована в проект студии

web-adminpart

Админская часть панели, копия с сервера разработки

WorkDispatcherDll

Модуль ядра системы

В общем случае конфигурируется сначала \shared\config.h, затем собирается через скрипт \tools\MAKE_INSTALLERS.BAT с параметром Release или Debug Готовые билды в \BUILDS\