背景

继去年 8 月份黑客组织 Shadow Brokers 放出第一批 NSA “方程式小组”内部黑客工具后，2017 年 4 月 14 日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一个攻击框架和多个 Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。

针对此次泄露的漏洞，微软提前发布了安全公告 MS17-010，修复了泄露的多个 SMB 远程命令执行漏洞。由于此次泄露的漏洞覆盖了大部分常见的 Windows 版本(包括微软不再提供更新服务的 Windows XP 和 Windows Server 2003)，网络空间中仍然存在大量可被入侵的设备。

数据分析

事件发生后，ZoomEye 网络空间探测引擎针对互联网空间中 MS17-010 SMB 远程命令执行漏洞影响及 Doublepulsar 后门植入的情况进行持续探测和跟踪，截至 2017 年 5 月 7 日，已完成三轮探测。

Doublepulsar 后门

第一轮探测

2017 年 4 月 24 日，针对 Doublepulsar 后门植入情况的第一轮探测结束，全球共有 98,309 台设备被植入 Doublepulsar 后门，其国家分布如下:

受影响国家 TOP 10：

受影响中国省市 TOP 10：

第二轮探测

2017 年 5 月 2 日，第二轮针对 Doublepulsar 后门植入情况的探测结束，全球共有 107,163 台设备被植入后门，其国家分布如下：

受影响国家 TOP 10：

受影响中国省市 TOP 10：

第三轮探测

2017 年 5 月 7 日，第三轮针对 Doublepulsar 后门植入情况的探测结束，全球共有 26,975 台设备被植入后门，其国家分布如下：

受影响国家 TOP 10：

受影响中国省市 TOP 10：

对比分析

各国被植入 Doublepulsar 后门的设备数量对比：

我国各省市被植入 Doublepulsar 后门的设备数量对比：

MS17-010 漏洞

第一轮探测

2017 年 4 月 26 日，第一轮 MS17-010 SMB 远程命令执行漏洞探测结束，全球共有 101,821 台设备存在 MS17-010 SMB 远程命令执行漏洞。其全球分布如下：

受影响国家 TOP 10：

受影响中国省市 TOP 10：

第二轮探测

2017 年 5 月 2 日，第二轮针对 MS17-010 漏洞影响情况的探测结束，全球尚有 65,966 台设备受到影响，其分布如下：

受影响国家 TOP 10：

受影响中国省市 TOP 10：

第三轮探测

2017 年 5 月 7 日，第三轮针对 MS17-010 漏洞影响情况的探测结束，全球共有 40,347 台设备受到影响，其分布如下：

受影响国家 TOP 10：

受影响中国省市 TOP 10：

对比分析

各国存在 MS17-010 漏洞的设备数量对比：

我国各省市存在 MS17-010 漏洞的设备数量对比：