安全研究人员发现一种新的加密挖矿蠕虫，该蠕虫通过暴露在互联网的Docker主机传播，很难被检测，但专家表示，企业可通过很多方法可以在感染开始之前降低风险。

Palo Alto Networks公司高级云漏洞和漏洞利用研究员Jay Chen表示， Palo Alto公司Unit 42研究人员第一次看到这种加密挖矿蠕虫，即“使用Docker Engine中的容器进行传播”。

Chen在博客中写道：“由于大多数传统的端点保护软件都不会检查容器内的数据和活动，因此这种恶意活动可能很难被检测。恶意攻击者通过不安全的Docker守护程序获得最初的立足点，在该守护进程中，他们首先会安装Docker映像以在受感染的主机上运行。然后部署从命令和控制服务器下载的恶意软件，以挖掘Monero并定期查询新的易受感染的C2主机，并随机选择下一个目标来传播蠕虫。”

研究人员将这个加密挖矿蠕虫命名为“Graboid”。因为它与1990年代电影《异形魔怪（Tremors）》中的沙虫类似，它的移动速度很快，但是总体上很笨拙。尽管如此，Chen还是警告说，该蠕虫可能会通过提取新脚本进行演变，并重新将自己定位为勒索软件或任何恶意软件以完全破坏主机。

Chen在博客文章中写道，2,000多台Docker主机不安全地暴露于互联网，但看这一点就意味着Graboid更加危险。

Chen说：“尽管我们没有在当前版本的Graboid中观察到扫描功能，但它可以非常广泛地传播，因为它可以完全控制受感染主机（的根级访问权限）。一旦Graboid入侵主机，它可能会继续扫描内部网络并渗透到其他未暴露于互联网的不安全Docker引擎中。”

对于为何有如此多的Docker主机暴露于互联网的原因，Chen说，这里存在很多潜在的原因，默认情况下Docker Engine…并没有暴露在互联网，这可能是由于在初始设置过程中可能出现配置错误，或者缺乏有关容器暴露程度的知识，或者仅仅是因为简单的人为错误。

为保护Docker主机，预防是最好的方法

IT专家表示，这种攻击中的漏洞相对容易避免，只需简单地不允许容器主机访问开放的互联网即可。对于今年早些时候在核心容器软件实用程序runC中发现的漏洞，情况也是如此。虽然后来发布了修复补丁，但是容器专家建议企业首先确保部署基本的安全措施-不要将容器主机暴露在开放的互联网，也不要从公共注册表中下载未知创建者的容器映像。

IDC分析师Gary Chen表示，可能的情况是，那些配置易受攻击主机的人认为这里并没有价值的资产，因此风险非常小-但是容器平台的高度互连性意味着攻击可以像野火一样从一个受感染的节点传播开来。

Gary Chen说：“我不知道如何才能真正保护人们免受自身伤害。”他补充说，“正常的良好做法应该可以阻止这种情况的发生。”

传统的IT安全平台仍在赶超容器。同时，那些已经开始部署容器的IT企业正在等待熟悉的供应商添加容器支持，这会使容器容易受到攻击。专门的容器安全工具可能可检测或阻止该加密挖矿蠕虫，这些安全工具可以检测容器网络中的异常行为和可能的恶意行为，并允许将有限数量的容器网络调用列入白名单，同时阻止其余部分（如果已被使用）。这样的工具也可以保护容器主机。

还有其他安全层可以限制受感染的Docker主机对其余基础架构的访问。IT团队应先通过Red Hat Quay、Docker Security Scanning或Docker Trusted Registry等安全扫描工具运行容器映像，然后再运行它们。第三方供应商（例如Twistlock、NeuVector和Aqua）也可在运行容器映像前对其进行扫描以确保安全性。企业还应该启用强大的SSH身份验证过程，以连接到Docker守护程序，并消除薄弱安全访问，即使是来自受信任的网络的访问。此类工具还可用于检查Docker部署中的未知容器或映像。

专家说，这些不是来自安全专家的新做法，但某些组织仍未意识到这些做法的重要性。在其他情况下， DevOps团队与安全团队之间缺乏沟通和协作可能会使企业无法遵循容器安全性最佳做法，因为DevOps团队和安全团队有着不同的目标，DevOps团队必须快速行动，而安全团队必须确保安全性。

敏捷软件开发咨询公司Cprime Inc.负责DevOps的云交付主管Chris Riley说：“我的猜测是，基础架构团队在使用容器时并未让安全人员介入。企业中可能有容器没有受到首席信息安全官的监管，…但是IT团队需要建立管道，其中包含DevSecOps以扫描和强化容器定义。”