概述

近日，阿里云安全团队监测到watchbog挖矿蠕虫的变种。该蠕虫在原先挖矿功能与C&C通信的基础上[1]，增加了使用多个CVE漏洞进行传播的能力，利用这些漏洞，攻击者可以执行任意指令非法牟利或以此为跳板扩大攻击范围，对被入侵主机带来极大的安全隐患。

本文重点关注watchbog蠕虫新增加的5种漏洞利用方式，涉及的组件根据shodan与Zoomeye扫描全网量从大到小分别为:Exim、Windows Remote Desktop、CouchDB、Jira、Solr。其中运行Exim服务的设备达百万级别，而最少的Solr也有上万台设备运行，因此该蠕虫攻击覆盖面极广，提醒用户及时关注自身设备运行状态。

其中Windows Bluekeep RDP | CVE-2019-0708需要特别注意，其危害程度与2017年WannaCry