/Pegasus

Carbanak leaked source

Primary LanguageC

Проект Пегас - краткое описание содержимого

Пегас - структурированный сложный проект под х32 и х64 платформы. 
Установщик инжектирует в память процесса svchost образ с ядром системы и модулями, после чего выполняется
самоудаление с затиранием исходного файла.
Передача управления в исходном инсталлере идет следующим образом:
Shellcode -> InstallDispatcherDll 
Передача управления в новом процессе идет по схеме: 
Shellcode -> WorkDispatcherDll -> все остальные модули
При установке поверх существующей версии выполняется контроль айди билда, и если он ниже или равен уже 
существующей версии - установка не выполняется.
Подробности функционирования модулей потребуют значительного времени для описания, поэтому в случае необходимости
предлагается смотреть исходники - они хорошо откомментированы и структурированы.

Для сборки нужна студия не ниже 2013 и PHP Tools for Visual Studio от Devsense

Размещение файлов по папкам

	binres
Скомпилированные модули и другой код под х32 и х64 платформы
	
	BUILDS
Финальные установщики под обе платформы, отладочная и релизная версии в зависимости от папки

	inc
Программные модули (библиотеки), используемые различными подпроектами

	InstallDispatcherDll
Модуль-установщик, выполняет инжект в новый процесс

	InstallerExe
Проект начального установлика

	lib
Файлы для успешной компиляции без MSVCRT

	LZ4_pack
Утилита упаковки ресурсов

	mod_CmdExec
Модуль запуска команд из панели (новый процесс, команда в консоли и т.п.)

	mod_DomainReplication
Модуль самораспространения в домене

	mod_KBRI
Модуль подмены платежей в КБР

	mod_KBRI_hd
Модуль-инжектор для перехвата процесса обмена данными КБР и получения от mod_KBRI подмененных данных

	mod_LogonPasswords
Модуль поиска паролей, переписанный и исправленный код mimikatz

	mod_NetworkConnectivity
Модуль сетевой связи, в том числе через пайпы для машин с закрытым доступом в сеть

	RemoteServiceExe
Специальный исполняемый файл, который забрасывается на удаленную систему в процессе распространения в домене

	shared
Общие заголовочные и конфигурационные файлы

	Shellcode
Шеллкод для загрузки и запуска присоединенных библиотек

	tools
Утилиты и скрипты для сборки проекта и его частей

	WEB
Клиентская часть админ-панели, интегрирована в проект студии

	web-adminpart
Админская часть панели, копия с сервера разработки

	WorkDispatcherDll
Модуль ядра системы


В общем случае конфигурируется сначала \shared\config.h, затем собирается через скрипт \tools\MAKE_INSTALLERS.BAT
с параметром Release или Debug
Готовые билды в \BUILDS\