網(wǎng)絡(luò)犯罪分子正在不斷優(yōu)化其網(wǎng)絡(luò)攻擊工具，策略和技術(shù)，以逃避垃圾郵件檢測(cè)系統(tǒng)。

　　由于一些系統(tǒng)會(huì)直接提取郵件中內(nèi)嵌的鏈接進(jìn)行檢測(cè)，而一種此類URL混淆技術(shù)采用了URL主機(jī)名部分中使用的編碼十六進(jìn)制IP地址格式來(lái)逃避檢測(cè)。

　　由于IP地址可以用多種格式表示，因此可以在URL中如下所示使用：

　　點(diǎn)分十進(jìn)制IP地址：216.58.199.78

　　八進(jìn)制IP地址：0330.0072.0307.0116（將每個(gè)十進(jìn)制數(shù)字轉(zhuǎn)換為八進(jìn)制）

　　十六進(jìn)制IP地址：0xD83AC74E（將每個(gè)十進(jìn)制數(shù)字轉(zhuǎn)換為十六進(jìn)制）

　　整數(shù)或DWORD IP地址：3627730766（將十六進(jìn)制IP轉(zhuǎn)換為整數(shù)）

　　單擊上面的任何鏈接會(huì)將您定向到指定域名，大多數(shù)瀏覽器也接受這些不同的IP格式。

　　而近日，有一個(gè)專門用制藥為主題的釣魚郵件活動(dòng)，就專門使用了十六進(jìn)制代表IP的手法進(jìn)行攻擊。

　　由于這可能會(huì)成為未來(lái)的攻擊趨勢(shì)，因此將這個(gè)攻擊趨勢(shì)在黑鳥公眾號(hào)中提一下。

　　這些釣魚郵件消息涵蓋了廣泛的藥品，主要是用于膽固醇，抗真菌，抗衰老，抗炎，腦部健康，新陳代謝等方面的藥物。該釣魚郵件僵尸網(wǎng)絡(luò)最近從7月中旬開始在URL中使用十六進(jìn)制IP。

　　攻擊流程圖如下所示。

　　郵件如下所示，使用文本超鏈接進(jìn)行跳轉(zhuǎn)。

　　超鏈接中對(duì)應(yīng)的URL鏈接如下，使用十六進(jìn)制IP

　　使用不同的郵件客戶端，這些鏈接看起來(lái)略有不同。例如，使用Thunderbird郵件客戶端，將鼠標(biāo)懸停在文字超鏈接上，會(huì)將它們顯示為以狀態(tài)欄中IP地址開頭的URL。

　　但是，使用微軟Outlook郵件客戶端，在URL中還是會(huì)以十六進(jìn)制IP形式顯示，但是復(fù)制和粘貼這些鏈接到其他地方，才會(huì)將其轉(zhuǎn)換為URL中的標(biāo)準(zhǔn)IP格式。

　　點(diǎn)擊上面十六進(jìn)制鏈接后的結(jié)果